交易按钮

lava · 2025 年8 月 21 日 11:24

感谢您提供的这个有用的插件！我发现了一些需要关注的关键安全漏洞：

问题

无授权检查 - 任何用户都可以将任何主题标记为已售/已购/已交换
缺少后端验证 - 控制器未验证：
- 插件已启用 (topic_trade_buttons_enabled)
- 分类按钮已启用 (enable_*_button)
- 仅前端检查这些设置（不安全）
无输入验证 - topic_id 参数未经验证
未创建操作日志 - 操作未记录，没有执行操作者的记录

话题		回复	浏览量
Discourse Category Lockdown Plugin pavilion	111	12853	2025 年10 月 15 日
Private Topics Plugin Plugin	92	4975	2025 年9 月 7 日
Customize new topic button text Theme component official , topic-button-text	25	3412	2025 年2 月 25 日
Solved Button Plugin Feature rfc , spec	65	21237	2015 年6 月 18 日
3.3.0.beta2: New admin sidebar, Redesigned bookmark menu, Chat from user profile, and more Announcements release-notes	1	1854	2024 年5 月 15 日