page-embed: серверный guard глубины/циклов раскрытия #54

Closed
opened 2026-06-21 00:23:42 +03:00 by Ghost · 0 comments

Найдено при написании тестов (хвост PR #49).

Cap глубины/циклов PAGE_EMBED_MAX_DEPTH=5 — только клиентский (apps/client/src/features/editor/components/page-embed/page-embed-view.tsx). Серверный /pages/template/lookup ограничен лишь throttle 30/60с + ArrayMaxSize(50). Скриптовый клиент может обходить клиентский cap.

Предложение: оценить и при необходимости добавить серверный guard рекурсивного раскрытия embed.

Найдено при написании тестов (хвост PR #49). Cap глубины/циклов `PAGE_EMBED_MAX_DEPTH=5` — только клиентский (`apps/client/src/features/editor/components/page-embed/page-embed-view.tsx`). Серверный `/pages/template/lookup` ограничен лишь throttle 30/60с + `ArrayMaxSize(50)`. Скриптовый клиент может обходить клиентский cap. **Предложение:** оценить и при необходимости добавить серверный guard рекурсивного раскрытия embed.
Ghost added the bugsecurity labels 2026-06-21 02:27:19 +03:00
Ghost closed this issue 2026-06-21 14:10:27 +03:00
Sign in to join this conversation.
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: vvzvlad/gitmost#54