任意用户可查看任意评论者信息 #1721

cnskis · 2022-03-08T07:54:42Z

是什么版本出现了此问题？

1.4.17

使用的什么数据库？

H2

使用的哪种方式部署？

Fat Jar

在线站点地址

blog.shikangsi.cn

发生了什么？

在文章页有如下请求：https://blog.shikangsi.cn/api/content/posts/1/comments/tree_view?pages=0&page=0&sort=&size=5&total=0
该请求暴露评论者所有信息

初步查看，在run.halo.app.repository.base.BaseCommentRepository#findAllByPostIdAndStatusAndParentId(java.lang.Integer, run.halo.app.model.enums.CommentStatus, java.lang.Long, org.springframework.data.domain.Pageable)
使用了findAll，返回所有字段。
建议只返回部分信息，或者置空email、ipAddress、authorUrl三个字段

附加信息

No response

ruibaby · 2022-03-08T08:05:11Z

email、ipAddress 确实需要屏蔽掉，但是 authorUrl 可以不用。

/cc @halo-dev/sig-halo

我们将在 1.5 解决此问题。

cnskis added the kind/bug Categorizes issue or PR as related to a bug. label Mar 8, 2022

ruibaby added this to the 1.5.x milestone Mar 8, 2022

guqing self-assigned this Mar 8, 2022

This was referenced Mar 8, 2022

Use the comment assembler to replace the original comment converter #1724

Merged

feat: Add comment assembler for theme render #1729

Merged

JohnNiang closed this as completed in #1729 Mar 9, 2022

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

任意用户可查看任意评论者信息 #1721

任意用户可查看任意评论者信息 #1721

cnskis commented Mar 8, 2022

ruibaby commented Mar 8, 2022 •

edited

Loading

任意用户可查看任意评论者信息 #1721

任意用户可查看任意评论者信息 #1721

Comments

cnskis commented Mar 8, 2022

是什么版本出现了此问题？

使用的什么数据库？

使用的哪种方式部署？

在线站点地址

发生了什么？

相关日志输出

附加信息

ruibaby commented Mar 8, 2022 • edited Loading

ruibaby commented Mar 8, 2022 •

edited

Loading