关于 Waline 的一些疑问

walinejs / waline

💬 A Simple, Safe Comment System

https://waline.js.org/en/

GNU General Public License v2.0

2.27k stars 396 forks source link

Closed ocoke closed 3 years ago

ocoke commented 3 years ago

近期我的 Waline 评论系统被刷评论了，对 Waline 有些疑问：

前端有字数限制的配置，但似乎可以通过 API 提交，此设置项防君子不防小人？

前端有强制登录的限制，但似乎可以通过 API 提交，并且不是所有的组件都强制登录，如果有攻击时，并不能很好的防护。

建议：后端可配置强制登录，所有前端发送的未登录的评论都拒绝。

ocoke commented 3 years ago

Mister-Hope commented 3 years ago

所有在前端的配置显然都只能防前端，不过近期版本会加入后端的强防护

lizheming commented 3 years ago

强制登录目前服务端增加了 LOGIN=force 的环境变量，可以在接口层限制登录评论功能了。