виджет disqus скопировать и вставить на мою страницу

Я настроил DISQUS и обнаружил очень интересную вещь: это всего лишь небольшой код Javascript, который идентифицирует учетную запись сайта по disqus_shortname и/или disqus_identifier. Поэтому, если я скопирую код с любого другого сайта, который использует disqus, он будет работать и на моей веб-странице, используя disqus_shortname и/или disqus_identifier этого сайта. Disqus будет заполнять мою страницу комментариями для этой конкретной темы, не проверяя, является ли это законной учетной записью/страницей.

Это хорошая/ожидаемая практика/поведение для системы комментариев?


same-origin-policy comments disqus
person kuldeep.kamboj    schedule 07.03.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ну, настройка по умолчанию не очень безопасна. Попробуйте установить Доверенные домены в дополнительных настройках.

При желании вы можете указать список доверенных доменов (по одному в строке), которым разрешено подключаться к вашим встраиваемым комментариям Disqus. Укажите один домен в строке. Домен будет включать в себя все поддомены ниже него, например. blog.disqus.com будет включать этот домен, а также foo.blog.disqus.com и bar.blog.disqus.com.

Обновлять:

localhost всегда включен, смотрите комментарии и выводы @kuldeep.kamboj

person Leos Literak    schedule 07.03.2014
comment
Этот параметр у меня не работает, я добавил домен в список доверенных доменов. Но disqus по-прежнему показывает комментарии на моей странице localhost. - person kuldeep.kamboj; 07.03.2014
comment
Затем я предполагаю, что их код неисправен, и предлагаю отправить отчет об ошибке. Поскольку их программное обеспечение развертывается на стороне клиента (с точки зрения веб-сайтов), возможны только проверки безопасности URL. Если это не работает, это серьезная проблема, потому что никто не может украсть ваши обсуждения с помощью копирования/вставки семи строк кода JS. - person Leos Literak; 07.03.2014
comment
На самом деле это так, я могу показать раздел комментариев некоторых крупных новостных сайтов на моей локальной странице ... Интересно, работает ли функция доверенного домена, почему они ее не используют? - person kuldeep.kamboj; 07.03.2014
comment
Если не работает - я имел ввиду проверку доверенного домена. Вы должны связаться с ними с сообщением об ошибке. PS disqus очень прост в настройке. Но похоже, что эта часть глючит. - person Leos Literak; 07.03.2014
comment
Проанализировав больше, похоже, что сама функция работает в домене, но не на локальном хосте. Если я скопировал какой-либо код плагина disqus на свою страницу локального хоста, он показывал комментарии, в то время как некоторые другие функции домена работали, и виджет казался заблокированным. - person kuldeep.kamboj; 07.03.2014
comment
Хорошая точка зрения. Такое поведение может быть преднамеренным, поскольку оно не мешает разработчикам тестировать свои продукты, обеспечивая при этом безопасность обычных пользователей. - person Leos Literak; 07.03.2014
comment
Нет, я полагаю, вы правы насчет их преднамеренного локального хоста :) Итак, принимаю ваш ответ. - person kuldeep.kamboj; 07.03.2014