Open kyoshida-aim opened 5 years ago
今の状態だと、POSTするlabel_idsを偽装すれば、他人のラベルを自分のタスクに付けれちゃいそうな気がします。 直すか検討してもらえると!
bindingでupdate前にparamsを偽装してみたところ、確かに他人のラベルを貼れてしまうのを確認できました。 この場合、モデル側に対して更新前にラベルIDがそのユーザーのものかどうか検証するようにした方がいいでしょうか?
一つのtask_idに対して設定できるlabel_idの上限は、とりあえず、10とする。
タスクに対してつけられるラベルの数を制限するのを忘れてたので実装します...
モデル側に対して更新前にラベルIDがそのユーザーのものかどうか検証するようにした方がいいでしょうか?
そうですね。対応するとしたらそうなると思います。 ただ、今回のアプリにおいては対応は本当にどっちでも良いかなという気がしてます。時間に余裕があれば対応するぐらいでいいかなと。 本物のアプリだった場合、label_idが今は連番で推測しやすいし、ラベル名にセキュアな情報が乗ってる可能性も考えられるので、きちんと対応しとくべきだと思いますが、 今回のアプリであれば、他人のラベル見れたところで別に、という感じがするので。 (枝葉末節な問題なので後回しで良さそうです。)
params偽装対策を実装しました。 okが出たらコンフリクト解消します
概要
理由
確認方法
編集画面
詳細画面
やっていないこと
相談事項
動作自体は問題ないはずで、上述したドロップダウンなどの問題はUI周りのみの問題なので、全てのステップが終わってから改めて調査しようと思います。