Meu fórum tem CloudFlare e, ao inserir um URL deste serviço, consigo obter o IP real do meu servidor, o que é uma grande vulnerabilidade para ataques DDoS.
Verifiquei no Discourse Meta e este fórum também não possui filtragem de URL.
Bloquear domínios pelo IPlogger não ajuda, pois o atacante pode usar um domínio personalizado com um script para registrar o endereço IP. Acho que é necessário usar uma lista de permissões para filtrar domínios que podem usar onebox.
Exemplo: se o administrador permitir apenas URLs do Youtube, Twitter, Imgur, todos os outros URLs serão bloqueados.
Talvez o Discourse tenha essa configuração? Não consigo encontrar
Atualização
A configuração blocked onebox domains e allowed inline onebox domains nesta página /admin/site_settings/category/onebox não funciona.
Acho que encontrei uma solução com a configuração do CSP. Consegui permitir imagens apenas do meu domínio, preciso de tempo para amassar a massa e compartilharei a decisão.
