安全性

Waline 评论系统的安全性是我们的首要考虑。我们将在这里介绍 Waline 的安全性。

评论安全

防 XSS 攻击

Waline 在服务端使用 DOMPurify 过滤每一个评论输入，以防止潜在的 XSS 攻击。这意味着你将不能使用 <iframe> 以及任何形式的脚本。

防止链接跟踪

所有的链接都会被自动设置 rel="noreferrer noopener" 并使用 target="_blank" 在新窗口中打开。

防止恶意内容植入

• 为了防止用户在评论区创建可提交的表单欺骗其他访客提交信息，你无法使用 <form> 与 <input>

• 为了防止用户利用样式纂改网站页面或修改自身评论样式植入垃圾广告，<style> 标签和元素上的 style 属性均不可用。

• 为了防止用户滥用媒体自动播放功能，你无法使用 autoplay 属性。

防止伪造

Waline 支持账号系统，所以你可以强制用户注册并使用账号登陆。这样访问者将不能伪造其他人发表评论。

为了启用这一功能，你需要在同时在客户端和服务端设置强制登陆，详见 login 和 LOGIN。

站点安全

频率限制

为了防止用户评论，Waline 会针对评论 IP 进行限制。在默认情况下，同一 IP 一分钟内只能发送一条评论。你可以在 服务端参考 → 环境变量 中修改这个限制。

防止灌水

Waline 在录入评论时会对已有评论进行检测，如果检测到相似度过高的评论，将会拒绝相应评论。这可以在一定程度上防止灌水。

评论审查

在你的站点被恶意攻击、敏感时期或你忙碌的时候，你可以开启评论审查功能，详见 服务端参考 → 环境变量。

评论审查开启期间，所有新增评论会默认隐藏，你可以在 Waline 管理端或相应页面的评论框中查看并审查评论，只有你审查通过的评论才会被显示。

数据安全

由于 Waline 拥有服务端，任何人无法篡改评论数据或浏览量。

同时，你可以在服务端设置 DISABLE_USERAGENT 和 DISABLE_REGION 变量，阻止他人查看用户评论的 UA 和地理位置。