[halo-dev/halo]隐私安全问题

2024-04-02 518 views
3
你当前使用的版本

2.7.0

描述一下此特性

博客中静态资源能否添加防盗链,文章中插入url图片资源会暴露ip,端口等信息

附加信息

image

回答

7

那你应该需要一个域名去作为访问地址,或者你可以通过 cdn 回源到你的 ip 地址来访问,这与 Halo 无关,你都自己暴露了 ip 地址作为访问地址别人只要能访问到自然能知道 ip 与静态资源没有关系

4

这个图片是一个相对地址,能显示绝对地址的原因是你通过了 ip 来访问你的网站,建议通过反向代理来绑定域名。同时如果有更高的安全要求,你似乎只能使用 CDN 之类的服务来保证。

如果没有其他动态,我将关闭此 issue,可以随时打开或者新建 issue。

0

博客中无登录验证且在注册时 密码位数无限制(可为1位) 且注册时密码中可包含空串或全为空串 我认为这是一个比较严重的漏洞

9

我也同样在意这个问题,注册时用户名和密码应该做出基本限制

3

这个建议单独提 issue 表明密码存在的问题