流程安全性反馈：平台部署在线ps，svg等工具后。可不经验证权限直接使用。

哇啦啦 · 2022年8月19日

如果有用户通过特殊手段获取到了部署的服务连接地址。比如 https://私有有域名/?plugin/photopea/
直接点击打开即可使用，无需权限验证。
目前配置的是点击插件连接后直接在新窗口打开。
暂未测试再嵌入页面打开的情况。

容易导致1. 被传出去连接，引人白嫖。
2. 如果这些服务本身有漏洞未被发现，容易被攻击。

另外kodoffice实际上服务搭建后也没有鉴权。好像填了地址就可以用。

warlee · 2022年8月26日

线ps,svg editor等几个插件默认所有人可用.
为方便未登录用户也能体验, 做了特殊处理, 不登录也可以编辑体验(但不能保存,可以导出)

不想所有人使用,可以在对应插件中设置一下权限即可, 指定权限组即可(勾选所有权限组,就等于所有登录用户可用)
onlyoffice 可以在该服务器上做refer白名单.