Mon forum utilise CloudFlare et lorsque j’insère une URL de ce service, je peux obtenir la véritable adresse IP de mon serveur, ce qui est un cadeau pour les attaques DDoS.
Je l’ai vérifié sur Discourse Meta et ce forum n’a pas non plus de filtrage d’URL.
Le blocage de domaine par IPlogger ne peut pas aider car l’attaquant peut utiliser un domaine personnalisé avec le script pour enregistrer l’adresse IP. Je pense qu’il faut utiliser une liste blanche pour filtrer les domaines qui peuvent utiliser onebox.
Exemple : si l’administrateur n’autorise que les URL de Youtube, Twitter, Imgur, toutes les autres URL seront bloquées.
Peut-être que Discourse a ce paramètre ? Je ne le trouve pas
Mise à jour
Les paramètres blocked onebox domains et allowed inline onebox domains sur cette page /admin/site_settings/category/onebox ne fonctionnent pas.
Je pense avoir trouvé une solution en configurant CSP. J’ai réussi à autoriser les images uniquement à partir de mon domaine, j’ai besoin de temps pour la pâte et je partagerai la décision.
