api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.
본문
읽기 권한을 2이상으로 설정한 게시판의 게시물을 /api/v1/boards/board_id/writes/1 로 조회하면
{"detail":"글을 읽을 권한이 없습니다."}
처럼 권한이 체크되서 게시물이 조회가 안되는데, /api/v1/boards/board_id/writes?page=1 처럼 목록을 조회하면 각 게시물 목록 뿐만 아니라 내용까지 모두 조회되서 wr_subject, wr_content 등을 통해 본문이 그대로 보입니다.
그누보드 버전은 gnuboard6.0.10 입니다.
이슈 게시판에 글을 써보려고 했더니 권한이 없다고 나오는데 권한 요청드려도 되나요?
답변 3
목록보기 권한도 체크하셔야 할 듯 합니다.
목록은 비회원도 조회할수 있되 회원만 본문을 읽을 수 있게 하려는데, 목록을 조회하는 api의 결과에 본문의 내용까지 같이 넘어와서 내용이 확인이 되는 상황이에요.
"목록은 비회원도 조회할수 있되 회원만 본문을 읽을 수 있게 하려는데,
목록을 조회하는 api의 결과에 본문의 내용까지 같이 넘어와서
내용이 확인이 되는 상황이에요."
보안취약점이 맞네요. 보안패치가 필요하겠습니다.
답변을 작성하시기 전에 로그인 해주세요.
