Discourse 嵌入(Onebox)功能会泄露原站 IP

这个问题我在刚看到这个嵌入功能的时候就发现了,今天闻linux.do被打有感而发,遂记录一下。

Discourse的嵌入(Onebox)功能会向目标网站发送几个请求以确定网站可用性和是否支持嵌入,日志记录类似:

172.247.244.194 - "GET / HTTP/1.1" 304 0 "-" "Discourse Forum Onebox v3.3.0.beta3-dev"

其中172.247.244.194即为服务器IP地址。

应对措施:

如果你的原站足够硬,并且无所谓IP泄露,那么大可忽略此问题。
如果你需要隐藏原站IP,请在后台设置中搜索onebox,禁用enable inline onebox on all domains并配置allowed internal hosts为你信任的域名,以防止泄露原站IP,代价是其他域名无法使用嵌入。

已经被击穿了

羊毛薅太狠了,没底线,算是报复性回击

linux.do 到现在还没恢复