Ở backend service chưa check quyền comment trên 1 công việc (owner tổ chức, người tạo. liên quan báo cáo, người xử lý) . Nếu dùng ajax post như hiện tại thì người dùng vào console gửi comment fake được .
Xử lý qua findOne công việc rồi kiểm tra các quyền trên trước khi cho post
Ở backend service chưa check quyền comment trên 1 công việc (owner tổ chức, người tạo. liên quan báo cáo, người xử lý) . Nếu dùng ajax post như hiện tại thì người dùng vào console gửi comment fake được .Xử lý qua findOne công việc rồi kiểm tra các quyền trên trước khi cho post