Klicken auf den Reaktionszähler führt bei versteckten Beiträgen zu einer 403-Schleife

Der Backend-Endpunkt /discourse-reactions/app/controllers/discourse_reactions/custom_reactions_controller.rb verwendet guardian.ensure_can_see!(post), um zu verhindern, dass Benutzer ohne Berechtigung Reaktionen laden, wenn ein Beitrag ausgeblendet ist.

Allerdings rendert das Frontend weiterhin den Reaktionszähler. Wenn Benutzer daher den Reaktionszähler eines ausgeblendeten Beitrags anklicken, kommt es zu einer endlosen Ladeanzeige mit einem 403-Forbidden-Fehler beim Abrufen von /discourse-reactions/posts/xxx/reactions-users-list.json.

Dieser Commit fügt eine ähnliche Absicherung im Frontend hinzu: Der Reaktionszähler wird ausgeblendet, wenn args.post.hidden && !args.post.can_see_hidden_post gilt, um dieses Problem zu beheben.

https://private-user-images.githubusercontent.com/77799160/595836870-87c39f7f-5b8b-4555-a877-fe74714e16ca.png?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.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.Yt3iCEvZNcQmOXCn6kwviEAkLMe0efWZXkeohflv2Wg

PR: FIX: reactions shouldn't be visible to users without see_hidden_post permission if a post is hidden by small-lovely-cat · Pull Request #40216 · discourse/discourse · GitHub

4 „Gefällt mir“

Danke dafür! Ich habe es gerade gemergt.

1 „Gefällt mir“