Mi foro tiene CloudFlare y al insertar una URL de este servicio, puedo obtener la IP real de mi servidor, lo cual es un gran regalo para los ataques DDoS.
Lo comprobé en Discourse Meta y este foro tampoco tiene filtrado de URL.
El dominio bloqueado por IPlogger no puede ayudar porque el atacante puede usar un dominio personalizado utilizando el script para registrar la dirección IP. Creo que es necesario usar una lista blanca para filtrar los dominios que pueden usar onebox.
Ejemplo: si el administrador permite solo URL de Youtube, Twitter, Imgur, todas las demás URL serán bloqueadas.
¿Quizás Discourse tiene esta configuración? No la encuentro
Actualización
La configuración blocked onebox domains y allowed inline onebox domains en esta página /admin/site_settings/category/onebox no funciona.
