在文章页有如下请求:https://blog.shikangsi.cn/api/content/posts/1/comments/tree_view?pages=0&page=0&sort=&size=5&total=0
该请求暴露评论者所有信息
初步查看,在run.halo.app.repository.base.BaseCommentRepository#findAllByPostIdAndStatusAndParentId(java.lang.Integer, run.halo.app.model.enums.CommentStatus, java.lang.Long, org.springframework.data.domain.Pageable)
使用了findAll,返回所有字段。
建议只返回部分信息,或者置空email、ipAddress、authorUrl三个字段
临时修复:https://blog.shikangsi.cn/archives/halo-comment-bug-fixed
评论区