邮政编码的安全性

支持
1

您好 Discourse,
编辑:我之前在 Posting code or preformatted text 下发布了我的问题。

在我的自托管 Discourse 中,我们在安装前面放置了一个 WAF。它默认有更严格的规则,有时会阻止用户发布格式化代码。例如,包含 /etc/init.d 的编辑被视为安全问题。我的问题是,预格式化文本功能本身如何确保任何类型的代码 XSS 或攻击。或者 Discourse 核心如何保护提交的代码以避免安全问题?我是否可以安全地允许所有包含代码片段的帖子,以便调整 WAF 规则?

/etc/init.d/aaa.local Compatibility

谢谢!

1 个赞
2

Discourse 使用多层保护来防御帖子中的 XSS 攻击。

包括:

  • CSP
  • 仅允许特定标签通过的特殊库
  • 在沙箱中处理 markdown(从 MD 转换为 HTML)。

我们极其重视安全问题,您可以在此处了解更多信息:HackerOne

您的 WAF 不应进行此类阻止。

5 个赞