問題タブ [discourse]

Refused to display 'http://sotaexchange.cloudapp.net/' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

ドメイン sotaexchange.com を Discourse フォーラムにリダイレクトしましたが、上記のエラーが発生しました。HTTP リダイレクトに切り替えれば問題ありません。問題は、リダイレクトされたドメインに元のドメインと同じテキストがあり、トリックのように見えるためだと思います-これを防ぐにはどうすればよいですか?

編集

より良い答えを得るために賞金を出しています。詳細については、現在 Windows Azure を使用して談話サイトをホストし、所有している他のいくつかのドメインからリダイレクトしています。HTTP リダイレクトを使用したくありません。Frame リダイレクトを使用したいと考えています。

emberjs のハンドルバー テンプレート内にアクションを追加できます。

SomeAction が呼び出されます。

カスタム ヘルパー内にアクションを追加するにはどうすればよいですか (これは単なる例です。そこにはさらに多くのコードがあります)。

これは同じliタグを作成しますが、liタグをクリックするとこのエラーが発生して機能しません(エラーメッセージは談話アプリからのものです):

キャッチされていないエラー: アクション '' を処理したものはありません。アクションを処理した場合、このエラーは、コントローラーのアクション ハンドラーから true が返され、アクションがバブリングすることによって発生する可能性があります。

そこで、談話フォーラムをメインアプリ (Devise) と同じ認証に統合することを検討しています。mainapp.com と forum.mainapp.com になります。コードスクールやハミングバードとよく似ています。

1 年前に尋ねられた別の SO の質問を見て、これを行う上で改善やアイデアがあったかどうか疑問に思いました。

ユーザーは mainapp.com でサインアップし、談話ユーザー フィールドに入力するデバイス ユーザーの詳細を使用して、自動的に forum.mainapp.com にサインインします。

かなり新しい Ruby/Rails 開発者として、何をすべきかについて頭を悩ませるのは少し難しいですが、セッション Cookie を mainapp.com から forum.mainapp.com に運ぶことから始まるのではないかと思います。

過去 1 年間でこれが簡単になったかどうか、またこれを実装するための正しい方向に誰かが私を導くことができるかどうか疑問に思っています。

ec2 インスタンスで実行されているdiscourseというアプリケーションがあります。Docker を使用して http リクエストを処理します。

すべてが談話でうまく機能しています。今、同じサーバーで自分のjekyllブログをホストしたいと考えています。

私は jekyll サイトを生成することができ、ページを提供することもできますが、問題は DNS レコードを指すことにあります。

私の談話サイトはハードルなしで完璧に動作しますが、私の jekyll サイトはロードするためにポート番号が必要です。

つまり、私のブログはドメイン名にポート番号がないと読み込まれません。

http://domain.com:4000のように

これらの両方のアプリケーション サーバーをポート 80 で実行する方法、またはポート 80 と 4000 からの要求を処理する方法を教えてください。

私は apache mod_proxy を使用してリクエストをプロキシする立場にないことに注意してください。

実行可能な解決策を提案してください。この状況を処理するには。

以下は私の環境の詳細です： -

OS : - Ubuntu 13.10 Ruby バージョン : - 2.0.0

前もって感謝します 。

私は、Ember/Rails/Postgres で書かれたディスカッション フォーラムである discourse.js のソース コードを見直してきました。この種のアプリで XSS の脆弱性を回避するためのベスト プラクティスを研究しています。

Discourse が「調理された」文字列の概念を使用していることに気付きました。これは、投稿の本文などに使用される部分的に事前にエスケープされた文字列であり、3 つの口ひげ ( {{{}}}) を使用して Ember に表示されます。

ただし、投稿のタイトルなど、その他の場合では、談話は「タグについてのこれとあれ」などの生のエスケープされていない文字列を送受信し、二重口ひげ { {{}}) を使用してそれらを表示します。

このすべてについて、次の質問があります。

(1) Discourse は、投稿本文など、Markdown がサポートされているフィールドにのみ「cooking」を使用しているようです。クッキングは、後処理された Markdown フィールドを処理するための単なる方法ですか、それとも XSS 問題に対処することも目的としていますか?

(2) サーバーからクライアントに JSON で渡される、HTML タグのように見えるもの、または実際には HTML タグであるものを含む生の文字列を持つことは、XSS の脆弱性とは見なされませんか? 一部の XSS スニファは、明らかにそのようなことについて不満を述べており、一部の人々は、サーバー上での HTML エンティティのエスケープおよび/またはサニタイズを推奨しているようです。

wordpress 開発用の Vagrant box をダウンロードしてプロビジョニング済みですが、Vagrant box を Discourse 用に使用したいのですが、最初から Ubuntu を再度ダウンロードしてプロビジョニングする必要がありますか?

既存の box/vm を再ダウンロードせずに使用する方法はありますか?

メイン ドメイン example.com でプロジェクトをセットアップし、それをサブドメイン sub.example.com に移動しました。

OpenIdで同じ（デフォルトのASP.NET MVCまたはDiscourseフォーラムの）プロジェクトを使用しようとし、GoogleボタンをクリックしてGoogleアカウントでログインしようとすると、次のエラーがスローされます-

1. それはエラーです。

   OpenID auth request contains an unregistered domain: http://sub.example.com

私はそのメッセージをグーグルで検索してみましたが、どうやら私は最初にそれを見た 4 人のうちの 1 人です。ここに何かアイデアはありますか？