На моём форуме используется CloudFlare, и при вставке URL от этого сервиса можно получить реальный IP-адрес моего сервера. Это серьёзная уязвимость для DDoS-атак.
Я проверил это на Discourse Meta, и на этом форуме тоже отсутствует фильтрация URL.
Блокировка доменов через IPlogger не поможет, так как злоумышленник может использовать собственный домен с помощью скрипта для логирования IP-адреса. Думаю, необходимо использовать белый список для фильтрации доменов, которые могут использовать onebox.
Пример: если администратор разрешает только URL с YouTube, Twitter, Imgur, то все остальные URL будут заблокированы.
Возможно, в Discourse есть такая настройка? Я не могу найти
Обновление
Настройки «blocked onebox domains» и «allowed inline onebox domains» на странице /admin/site_settings/category/onebox не работают.
