【回归】允许的 src 域名下的 iframe 嵌入已损坏

支持
13

它是一个阻止具有不良声誉的域的 DNS 服务。但那不是问题,因为 1) 当我通过 VPN 连接时,它会使用不同的 DNS,而这个问题仍然存在,2) 向我报告此问题的用户正在使用完全不同的设置,3) DNS 配置仅适用于我的 LAN,而不适用于 Discourse 服务器,而 Discourse 服务器未能正确生成服务器端 HTML,4) 此 HTML 文件正确加载了 iframe:

<!DOCTYPE html>
<html lang="en">

<head>
  <meta name="description" content="Webpage description goes here" />
  <meta charset="utf-8">
  <title>Change_me</title>
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <meta name="author" content="">
</head>

<body>

<div style="left:0; width:100%; height:0; position:relative; padding-bottom:25%; margin:0 auto">
<iframe src="https://www.tickcounter.com/widget/countdown/5847336" style="top:0; left:0; width:100%; height:100%; position:absolute; border:0; overflow:hidden" title="My countdown"></iframe>
</div>

</body>
</html>

哦,天哪,就是那个,它缺少最后的 /
非常感谢!

Discourse 中有些东西改变了,因为我上次尝试此操作时添加了 https://www.tickcounter.com,而那时它奏效了。在我看来,要么是它使用的正则表达式逻辑,要么是设置的描述需要调整,因为它说:

Discourse 可以安全地允许帖子中的 iframe src 域前缀列表

当我想到“域前缀”时,我会想到域名和/或子域,它们都不包含 /。或者,如果它应该使用更精确的逻辑来处理复杂的 iframe src URL,那么它应该说类似的话:

Discourse 可以安全地允许帖子中的 iframe src URL 前缀列表

3 个赞