引入

在选择博客中的评论插件时,有这么几个备选,disqus、gitment、gittalk 等几个选项,分别申请了 disqus 的帐号和 github 的 OAuth,准备尝试几个插件的效果。 最开始的倾向性时 gitment 或者 gittalk,认为通过 github 提 issue 的方式进行评论,很方便同时很符合我的最初认知。 但是在使用过程中发现一些安全性问题,最终改变了我的看法,现在和大家进行分享

Hugo 中三者的配置

三者配置均不太难,配置完成后即可在页面上进行评论

disqus

disqus 配置简单,直接将注册后的应用短域名配置即可,没有什么后续的配置

gitment

和 disqus 相比 gitment 配置稍微有些麻烦,注册 OAuth 后,填写一些 git 信息后即可配置

gittalk

gittalk 配置和 gitment 相同

安全性问题

gitment

在配置 gitment 的时候,发现其官网给出的最原始示例中,直接将 clientIdclientSecret 都填写在前端页面中,这个非常不安全。

感觉上不对劲,查看自己的博客,确认是否 hugo 的默认 gitment 的配置为这种暴露的配置

不出意外,果然在 hugo 生成的 web 页面中,gitment 的配置就是如此,完全将 clientId 和 clientSecret 暴露到公网

gittalk

发现 gitment 的问题后,想到 gittalk 配置方式和 gitment 相似,正好有朋友的博客使用的是 gittalk 的评论插件,过去查看后

不出所料,没什么太大区别,完全将 clientId 和 clientSecret 暴露到公网

总结

探索了 3 中个人博客的评论插件,其中两个依靠 git issue 的插件均存在安全性问题。最终博客采用 disqus 作为博客评论的插件。 在此也提醒各位同学,如使用以上两种 git issue 的评论插件时,一定要注意帐号的安全性问题。可使用不重要的帐号用于评论,而非自己主要的 github 帐号