Il mio forum ha CloudFlare e quando inserisco un URL di questo servizio, posso ottenere l’IP reale del mio server, questo è un grande regalo per gli attacchi DDoS.
L’ho controllato su Discourse Meta e anche questo forum non ha filtri per gli URL.
Il blocco del dominio tramite IPlogger non può aiutare perché l’attaccante può utilizzare un dominio personalizzato utilizzando lo script per registrare l’indirizzo IP. Penso sia necessario utilizzare una whitelist per filtrare i domini che possono utilizzare onebox.
Esempio: se l’amministratore consente solo URL da Youtube, Twitter, Imgur, tutti gli altri URL verranno bloccati.
Forse Discourse ha questa impostazione? Non riesco a trovarla
Aggiornamento
Le impostazioni blocked onebox domains e allowed inline onebox domains in questa pagina /admin/site_settings/category/onebox non funzionano.
Penso di aver trovato una soluzione impostando CSP. Sono riuscito a consentire le immagini solo dal mio dominio, ho bisogno di tempo per l’impasto e condividerò la decisione.
