你好!最近,我利用 OpenGraph 元标签制作了一些点击诱饵链接,并注意到 Discourse 从不显示目标 URL,而是依赖可被伪造的元标签来告知用户他们即将点击的内容。例如,这是《The Verge》上的一篇真实文章:
然而,如果我将这些标签复制并粘贴到我自己的网站上,我就能制作出该真实文章预览的复制品,而没有任何迹象表明它并非原文。
这似乎存在安全隐患,因为用户可能点击一个“受信任的网站”,结果却跳转到完全不同的内容。我建议,Discourse 在显示文章发布日期时,应改为显示目标网站的域名或一个截断后的 URL。
在您第一个示例中,将鼠标悬停在链接上确实会显示目标站点的 URL。而在第二个示例中,显示的则是您的“虚假”URL。诚然,并非每个人都会费心去检查,而是直接点击离开。
谢谢,我想我漏掉了那一点。不过,移动用户呢?他们有没有类似的功能?我仍然觉得这对所有人来说都可以更明显一些……
抱歉。有一样东西我没有……手机。21 年前退休时我就放弃了。图个清静。
如果您正遭受此问题的活跃滥用,可以将链接主机添加到 onebox domains blacklist 站点设置中。
我认为他的意思是,他可能发现了一个可被利用的功能。他确实自己创建了伪装成可信网站的点击诱饵链接。这个情境中唯一的问题是,发布该内容的用户身份已被识别。如果匿名用户发布类似内容,这可能会成为一个问题。
我不是任何论坛的版主,因此对此无法进行任何控制。Twitter、Facebook 和 Apple 链接预览都会显示目标链接,但 Discourse 不会。在发布原始帖子之前,我实际上在 Byte 论坛上分享了一个虚假链接,声称“宣布”Byte 应用即将关闭,却未意识到它不会显示真实链接。我的链接重定向到了一个 BlackLivesMatter 中心,但这仍显示出此类滥用可能带来的风险。https://community.byte.co/t/byte-is-shutting-down-not-really/54585