一名开发者发现自己的域名被他人滥用指向GitHub Pages站点。问题的根源在于其DNS配置使用了通配符记录(*.immersivepoints.com),将所有子域名都转发至GitHub服务器。由于GitHub允许任意用户在没有验证的情况下声明未被占用的子域名,他人悄声占用了「kafka.immersivepoints.com」并托管了可疑内容,直至收到Google Search Console的域名所有者变更通知才察觉。
作者指出,GitHub虽提供域名验证功能(通过账户设置添加TXT记录),但并未在仓库配置页面给出足够明显的警告。他建议GitHub在检测到未验证域名时主动提示,或要求用户验证所有权后才允许托管。另一种方案是限制同一顶级域下的多个账户同时使用子域名。
该事件也提醒DNS配置需谨慎:若仅需托管主域名,应避免使用通配符记录指向第三方平台。
编注:信源为技术博客,事件亲历者自述,时效为数日内的披露。材料完整但未获GitHub官方回应;正文依据作者经历整理,无第三方核实。