哇啦啦 如果有用户通过特殊手段获取到了部署的服务连接地址。比如 https://私有有域名/?plugin/photopea/ 直接点击打开即可使用,无需权限验证。 目前配置的是点击插件连接后直接在新窗口打开。 暂未测试再嵌入页面打开的情况。 容易导致1. 被传出去连接,引人白嫖。 2. 如果这些服务本身有漏洞未被发现,容易被攻击。 另外kodoffice实际上服务搭建后也没有鉴权。好像填了地址就可以用。
warlee 线ps,svg editor等几个插件默认所有人可用. 为方便未登录用户也能体验, 做了特殊处理, 不登录也可以编辑体验(但不能保存,可以导出) 不想所有人使用,可以在对应插件中设置一下权限即可, 指定权限组即可(勾选所有权限组,就等于所有登录用户可用) onlyoffice 可以在该服务器上做refer白名单.