ワイルドカードURLチェッカーにはプロトコル許可リストがハードコードされている

blattersturm · 2019 年 12 月 31 日午前 7:30

以下のコミット以降:

許可プロトコルのハードコードされたリストが追加され、管理 UI で設定されている内容が無視されるようになりました:

app/services/wildcard_url_checker.rb

d8360b4c8


      
          # frozen_string_literal: true
          
          module WildcardUrlChecker
            VALID_PROTOCOLS = %w(http https discourse).freeze
          
            def self.check_url(url, url_to_check)
              return nil if !valid_url?(url_to_check)
          
              escaped_url = Regexp.escape(url).sub("\\*", '\S*')
              url_regex = Regexp.new("\\A#{escaped_url}\\z", 'i')
          
              url_to_check.match(url_regex)
            end

その結果、fivem://accept-auth をリダイレクト URI として新しいユーザー API キーを作成しようとするすべての試みが、/logs やエンドユーザーの画面に何の情報も表示されないまま 403 エラーに遭遇します。

rishabh · 2019 年 12 月 31 日午前 9:10

こんにちは

ご報告いただきありがとうございます。できるだけ早く担当者が確認いたします。

sam · 2020 年 1 月 2 日午前 2:22

ご報告ありがとうございます。allowed_user_api_auth_redirects リストに fivem が含まれているのを検知した場合は、自動的にホワイトリストに追加する修正を検討しています。

david · 2020 年 1 月 2 日午前 11:51

こちらで PR を作成しました：

サイト設定のリストに対して URL 全体（プロトコルを含む）をチェックしているため、特定のホワイトリストを追加する必要はないと考えています。

david · 2020 年 1 月 2 日午後 4:53

これはマージされました。@blattersturm さん、最新バージョンにアップデートすれば、問題は解決するはずです。

david · 2020 年 1 月 6 日午後 6:00

このトピックは 4 日後に自動的に閉鎖されました。新しい返信は受け付けていません。

トピック		返信	表示
Support wildcard in "allowed user api auth redirects" setting Feature	0	645	2018 年 12 月 15 日
Non-http(s) urls in posts not hyperlinking properly Support	20	2326	2016 年 11 月 8 日
URL validation for "Web Site" on user profile Feature	5	1548	2016 年 2 月 5 日
Links with protocol other than http? Support docker , markdown	5	1872	2018 年 10 月 19 日
Show full website path on user profile regardless of domain UX	12	1750	2016 年 4 月 11 日

ワイルドカードURLチェッカーにはプロトコル許可リストがハードコードされている

関連トピック