Closed shugo256 closed 1 year ago
ユーザーネームはアカウントページでそのままURLの構成要素になるので、大文字小文字数字などに限定してしまうのが安全かなと 関連: https://github.com/team-azb/knowtfolio/pull/240#discussion_r1103794481
ついでにapi
などの禁止ワードも入れることで、/users/:id
ではなく/:id
でアクセスできるようにすれば良さそう
バリデーションはlambdaでやるので、禁止ワードはテキストファイルよりssm param storeで管理した方が扱いやすそう
URLがバグるので、スラッシュやクエスチョンマークなども禁止で https://www.asahi-net.or.jp/~ax2s-kmtn/ref/uric.html
user id に絵文字を設定しようとしたら、cognitoのエラーが出たので、何らかの決まりがありそう