皆さん、こんにちは!このプラットフォームが大好きです。リモートコンテンツの場所を制御する方法についてアドバイスをお願いします。
例えば、信頼できないリソースの読み込みを禁止したいと考えています。例を挙げると、この「 
」という JPG は実際には JPG ではありませんが、すべての閲覧者が IP アドレスを、また重要度は低いですがユーザーエージェントを漏らしてしまいます。
YouTube や一般的なオンラインストレージプラットフォームなどの一部ドメインを除き、レンダリングされるコンテンツのアップロードのみを許可したいと考えています。
現在の Discourse のバージョンでこれは可能でしょうか?私はこのフォーラムをインターネットフォレンジックに利用する予定ですが、プロフィールやコンテンツ内の場所でのこのような PII(個人識別情報)の漏洩を防止する方法があれば、目的に完璧に合致します。
よろしくお願いします!
私は「Canary Tokens」を使って「偽の」jpeg を作成し(http://canarytokens.com/)、それを画像の Markdown でラップしました。
ホットリンクを避けるため、リモートコンテンツのコピーをダウンロードしています。JPG がホットリンクされるのはごく短い時間です。
とはいえ、ホットリンクされた画像をダウンロード中の間、画像を「ダウンロード中」の表示に置き換えるようなオプションを Discourse に追加することに反対ではありません。
サムさん、お時間をいただきありがとうございます。私のログでは Ruby のユーザーエージェントを確認できますが、誰かが私のプロフィールを表示すると、その閲覧者の IP アドレスを取得しています。おそらく、フェッチ処理やミドルウェアがアプリのすべての領域でグローバルに機能していないのでしょうか?
一時的な対策としてコンテンツセキュリティポリシーで解決できるかもしれませんが、問題が解決するまでの間、ユーザー体験が低下してしまうのも避けたいところです(笑)。
お時間とご意見をありがとうございます!
つまり、自己紹介欄に画像のホットリンクを設定したということですか?
それは許されるべきではないと思います。バグではないでしょうか。
こんにちは、サムさん。その通りです。この場合、マークダウンコマンド ![]() でリモート画像を呼び出しています。私はまだパワーユーザーではないので、リモートコンテンツを呼び出す他のサポートされている方法があるかどうかわかりませんが、試してみてください。私は自分のプロファイルの「自己紹介」スペースに配置しました。
「新規ユーザーは X できない」という制限も、このエリアには適用されないと思います。