Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

修复硬编码要求 http 开头链接导致 #3985 #3992

Closed
wants to merge 4 commits into from
Closed

修复硬编码要求 http 开头链接导致 #3985 #3992

wants to merge 4 commits into from

Conversation

wuliaodexiaoluo
Copy link
Contributor

@wuliaodexiaoluo wuliaodexiaoluo commented Jun 9, 2024

Fix #3985
考虑到预设和网络自定义后续可能会指定多种格式的链接头,故删去强制 http 开头链接要求而不是对 minecraft:// 链接头做识别和跳过

已通过 Action 确认可编译

https://github.com/wuliaodexiaoluo/PCL2/actions/runs/9436291564

@Silverteal
Copy link
Contributor

Silverteal commented Jun 9, 2024

是否考虑过安全风险?
虽然原始写法也不怎么安全

@wuliaodexiaoluo
Copy link
Contributor Author

wuliaodexiaoluo commented Jun 9, 2024

是否考虑过安全风险? 虽然原始写法也不怎么安全

那按这么说删掉 EventType 方法反而更安全
杜绝了远程命令执行
而且安全性应该是安全软件、浏览器、Microsoft SmartScan 该考虑的

@Silverteal
Copy link
Contributor

Silverteal commented Jun 9, 2024

那按这么说删掉 EventType 方法反而更安全
杜绝了远程命令执行

我完全赞同。

而且安全性应该是安全软件、浏览器、Microsoft SmartScan 该考虑的

我完全反对。安全性应该在任何一个环节中被考虑,而不该依赖其他方提供的安全措施。尤其是对于一个使用量以万次计的客户端应用程序。

不过同样,作为一个使用量以万次计的客户端应用程序,移除自定义事件算是一个十分具有破坏性的改动,所以不将其移除也略有道理。

更重要的原因是,对我而言,它有时候确实挺方便的,而且我不点来路不明的主页和帮助条目:)

@wuliaodexiaoluo
Copy link
Contributor Author

wuliaodexiaoluo commented Jun 9, 2024

我完全反对。安全性应该在任何一个环节中被考虑,而不该依赖其他方提供的安全措施。尤其是对于一个使用量以万次计的客户端应用程序。

那总不能用户想用我们不给用吧。。。。
而且这怎么搞安全扫描,沙箱 API 查询???
还是让龙猫来看吧。。。

@Silverteal
Copy link
Contributor

Silverteal commented Jun 9, 2024

我完全反对。安全性应该在任何一个环节中被考虑,而不该依赖其他方提供的安全措施。尤其是对于一个使用量以万次计的客户端应用程序。

那总不能用户想用我们不给用吧。。。。 而且这怎么搞安全扫描,沙箱 API 查询??? 还是让龙猫来看吧。。。

无所谓了,反正现在也有办法实现功能(直接start 链接)
我的回复针对您的观点本身,我认为安全是需要考虑的,不代表我对这个pr有什么特别的意见

@wuliaodexiaoluo
Copy link
Contributor Author

wuliaodexiaoluo commented Jun 9, 2024

我的回复针对您的观点本身,我认为安全是需要考虑的,不代表我对这个pr有什么特别的意见

你说得对,但是我没那个能力

@LTCatt
Copy link
Member

LTCatt commented Jun 9, 2024

#3985 的修复会额外地硬编码添加对 minecraft:// 的允许,考虑到安全性不会这样修复

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
Projects
None yet
Development

Successfully merging this pull request may close these issues.

URL打开基岩版的功能寄了?
4 participants