보안

1분 미만...

Waline 댓글 시스템의 보안은 최우선 과제입니다. 여기서는 Waline의 보안에 대해 다루겠습니다.

댓글 보안

Waline은 서버 측에서 DOMPurify를 사용하여 각 댓글 입력을 필터링하여 잠재적인 XSS 공격을 방지합니다. 이는 <iframe> 또는 어떤 형태의 스크립팅도 사용할 수 없음을 의미합니다.

모든 링크는 자동으로 rel="noreferrer noopener"로 설정되고 target="_blank"를 사용하여 새 창에서 열립니다.

사용자가 댓글 영역에 제출 가능한 양식을 만들어 다른 방문자를 속여 정보를 제출하도록 하는 것을 방지하기 위해 <form> 및 <input>을 사용할 수 없습니다.
사용자가 스타일을 사용하여 웹사이트 페이지를 수정하거나 자신의 댓글 스타일을 수정하여 스팸 광고를 심는 것을 방지하기 위해 <style> 태그와 요소의 style 속성을 사용할 수 없습니다.
사용자가 미디어 자동 재생 기능을 남용하는 것을 방지하기 위해 autoplay 속성을 사용할 수 없습니다.

Waline은 계정 시스템을 지원하므로 사용자에게 계정 등록 및 로그인을 강제할 수 있습니다. 이렇게 하면 방문자가 다른 사람의 댓글을 위조할 수 없습니다.

이 기능을 활성화하려면 클라이언트와 서버 모두에서 필수 로그인을 설정해야 합니다. 자세한 내용은 login 및 LOGIN을 참조하세요.

사용자의 댓글 도배를 방지하기 위해 Waline은 댓글 IP를 제한합니다. 기본적으로 동일한 IP는 1분 이내에 하나의 댓글만 보낼 수 있습니다. 서버 참조 → 환경 변수에서 이 제한을 변경할 수 있습니다.

Waline은 댓글 입력 시 기존 댓글을 감지하며, 유사도가 너무 높은 댓글이 감지되면 해당 댓글을 거부합니다. 이를 통해 어느 정도 도배를 방지할 수 있습니다.

사이트가 악의적인 공격을 받고 있거나, 민감한 시기이거나, 바쁠 때 댓글 검토 기능을 활성화할 수 있습니다. 자세한 내용은 서버 참조→환경 변수를 참조하세요.

댓글 검토가 활성화되면 모든 새 댓글은 기본적으로 숨겨집니다. Waline 관리 터미널이나 해당 페이지의 댓글 상자에서 댓글을 확인하고 검토할 수 있습니다. 승인한 댓글만 표시됩니다.

Waline은 서버 측이 있으므로 누구도 댓글 데이터나 페이지 조회수를 변조할 수 없습니다.

또한 서버 측에서 DISABLE_USERAGENT 및 DISABLE_REGION 변수를 설정하여 다른 사람이 사용자 댓글의 UA 및 지리적 위치를 볼 수 없도록 할 수 있습니다.

TIPS: 댓글 영역은 데모용입니다. 질문이 있는 경우 Github Discussion 에서 질문하세요.