我设置了DISQUS并发现了一些非常有趣的事情,它只是一个小的Javascript代码,通过disqus_shortname和/或disqus_identifier识别了site-account。因此,如果我从使用disqus的任何其他网站复制代码,那么它也可以通过使用该网站的disqus_shortname和/或disqus_identifier在我的网页上工作。 Disqus会在没有签出的情况下为我的页面填充该特定帖子的评论。如果它是合法的帐户/页面。
评论系统的这种良好/预期的做法/行为是什么?
答案 0 :(得分:1)
嗯,默认设置不是很安全。尝试在高级设置中设置可信域。
您可以选择指定可信域列表(每行一个) 允许连接到您的Disqus评论嵌入。 每行指定一个域。 该域名将包含其下的所有子域名,例如blog.disqus.com将包含该域名,以及foo.blog.disqus.com和bar.blog.disqus.com。
更新
始终启用 localhost,请参阅评论和@ kuldeep.kamboj调查结果