fix(security): share-alias availability не отдаёт currentPageId
Проба доступности алиаса возвращала currentPageId — id страницы, на которую
алиас уже указывает — ЛЮБОМУ аутентифицированному участнику воркспейса без
проверки прав на просмотр этой страницы. Перебором имён алиасов можно было
смапить их на id страниц, к которым доступа нет.
Теперь checkAvailability отдаёт только {alias, valid, available}. Бита
taken/free достаточно для пробы; заголовок целевой страницы всплывает лишь
ПОСЛЕ реальной попытки setAlias (путь 409 ALIAS_REASSIGN_REQUIRED), который
проверяет права. Клиент currentPageId нигде не использовал — убран из типа,
стейта и теста. Серверный спек утверждает отсутствие currentPageId в ответе.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -450,18 +450,22 @@ describe('ShareAliasService', () => {
|
||||
alias: 'free-name',
|
||||
valid: true,
|
||||
available: true,
|
||||
currentPageId: null,
|
||||
});
|
||||
// SECURITY (#495): the availability probe must NOT leak any page id.
|
||||
expect(res).not.toHaveProperty('currentPageId');
|
||||
});
|
||||
|
||||
it('reports taken with the current target page', async () => {
|
||||
it('reports taken WITHOUT leaking the current target page id (#495)', async () => {
|
||||
const { service, shareAliasRepo } = makeService();
|
||||
shareAliasRepo.findByAliasAndWorkspace.mockResolvedValue({
|
||||
id: 'a-1',
|
||||
pageId: 'p-9',
|
||||
});
|
||||
const res = await service.checkAvailability('taken', 'ws-1');
|
||||
expect(res).toMatchObject({ available: false, currentPageId: 'p-9' });
|
||||
expect(res).toMatchObject({ available: false });
|
||||
// The row exists (available:false) but its pageId is never returned — an
|
||||
// authenticated member cannot map an alias name to a page id it can't view.
|
||||
expect(res).not.toHaveProperty('currentPageId');
|
||||
});
|
||||
});
|
||||
|
||||
|
||||
@@ -223,21 +223,28 @@ export class ShareAliasService {
|
||||
alias: string;
|
||||
valid: boolean;
|
||||
available: boolean;
|
||||
currentPageId: string | null;
|
||||
}> {
|
||||
const alias = normalizeShareAlias(rawAlias);
|
||||
if (!isValidShareAlias(alias)) {
|
||||
return { alias, valid: false, available: false, currentPageId: null };
|
||||
return { alias, valid: false, available: false };
|
||||
}
|
||||
const existing = await this.shareAliasRepo.findByAliasAndWorkspace(
|
||||
alias,
|
||||
workspaceId,
|
||||
);
|
||||
// SECURITY (#495): return ONLY the boolean availability. The previous shape
|
||||
// leaked `currentPageId` — the id of whatever page the alias already targets —
|
||||
// to ANY authenticated workspace member, with no view-permission check on that
|
||||
// page. An attacker could enumerate alias names and map them to page ids they
|
||||
// have no access to. The taken/free bit is all the "is this address free"
|
||||
// probe needs; the reassign flow surfaces the target's title only AFTER a real
|
||||
// setAlias attempt (the 409 ALIAS_REASSIGN_REQUIRED path), which is access-
|
||||
// gated. If a caller ever needs the target page id, it must be returned only
|
||||
// behind an explicit `validateCanView` on that page.
|
||||
return {
|
||||
alias,
|
||||
valid: true,
|
||||
available: !existing,
|
||||
currentPageId: existing?.pageId ?? null,
|
||||
};
|
||||
}
|
||||
|
||||
|
||||
Reference in New Issue
Block a user