Open bowang opened 2 years ago
一个文档被修改时,现在产生的提醒邮件里的 “阅读文档” 按钮的 URL 通过 this.Ctx.Input.Site() 生成,这依赖于浏览器的访问URL
如果一个恶意用户在其本地修改 /etc/hosts,将 wiki 的 IP 重定位到一个恶意网址 http://xxx:1234 ,然后修改某个wiki页面,那么MM-Wiki 给关注该页面的用户发送邮件,邮件里会使用该恶意网址 http://xxx:1234/document/index?document_id=123 ,用户点击链接会去到 http://xxx:1234 ,然后可能会被钓鱼。
本 PR 允许管理员设置统一的访问链接,以解决依赖访问URL来获取wiki网址存在安全问题。
一个文档被修改时,现在产生的提醒邮件里的 “阅读文档” 按钮的 URL 通过 this.Ctx.Input.Site() 生成,这依赖于浏览器的访问URL
如果一个恶意用户在其本地修改 /etc/hosts,将 wiki 的 IP 重定位到一个恶意网址 http://xxx:1234 ,然后修改某个wiki页面,那么MM-Wiki 给关注该页面的用户发送邮件,邮件里会使用该恶意网址 http://xxx:1234/document/index?document_id=123 ,用户点击链接会去到 http://xxx:1234 ,然后可能会被钓鱼。
本 PR 允许管理员设置统一的访问链接,以解决依赖访问URL来获取wiki网址存在安全问题。