发起互联网服务请求时,严格遵循标准浏览器的处理方式
因为一些潜在的安全问题,我们计划在 v1.6.0 中对互联网服务请求时(例如 <iframe> 和线上图片的加载)进行标准化处理,即发起请求和处理响应时和标准浏览器表现一致。以下为两个受到影响的示例场景:
- 对于源站点明确不支持
<iframe>嵌入(例如 HTTP 请求响应带有一些安全策略标头)时一些交互操作会失效,比如登录不上或者无法提交 - 对于源站点明确进行了防盗链设置(例如 HTTP 请求响应校验 Token 或者 Referer 标头)时无法显示图片
思源笔记在发起互联网服务请求时(包含但不限于以上两个示例场景),都会统一严格遵循标准浏览器的处理方式进行处理。
升级建议和免责声明
- v1.6.0 发布后,我们强烈建议所有用户升级到该版本
- 对于不升级而使用老版本的用户,请务必注意潜在的安全隐患(例如跨站请求伪造),由此产生的后果由用户自行承担
谢谢大家的理解和支持。
20220725 更新:在 v2.1.3 以后会思源会自动绕过站点安全策略(https://github.com/siyuan-note/siyuan/issues/5516),相关风险和后果用户必须自行负责。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于