Questo dovrebbe essere risolto da SECURITY: Download allowlist for uploaded files · discourse/discourse@9c0642a · GitHub
Ora abbiamo una logica centralizzata per determinare quali file devono essere mostrati “inline”. Ciò significa che i PDF vengono mostrati in modo coerente inline e alcuni tipi di file meno sicuri vengono serviti in modo coerente come download. Queste modifiche dovrebbero funzionare su tutti i tipi di archiviazione dei caricamenti (locale e S3, con o senza CDN).