search

twikoojs / twikoo

💬 一个简洁、安全、免费的静态网站评论系统 | A simple, safe, free comment system.
http://twikoo.js.org
MIT License
1.4k stars 263 forks source link

QQ 邮箱自动获取头像功能会泄露评论者的 QQ号 #602

Closed ghost closed 7 months ago

ghost commented 9 months ago

使用 QQ邮箱评论的用户默认会使用 https://thirdqq.qlogo.cn/g?b=sdk&nk=<QQ 号码>&s=140 来获取头像,但这样会导致用户的 QQ号在前端泄露,建议发个投票把这个功能删掉或在用户评论前对使用QQ邮箱的用户进行提醒。

imaegoo commented 9 months ago

评论实际发出去以后,后端会根据qq号生成一个不带qq号的头像url(例如https://thirdqq.qlogo.cn/g?b=sdk&k=Cx2n6o4NYMeyRX25LOGawQ&kti=ZQ5XPAAAAAA&s=100&t=1687543713),评论人qq号不会被其他人看到,不会泄露