arch/html-embed: вынести повторяющийся admin-gate strip (7 call-site) в один тестируемый хелпер #90

New Issue

Ghost · 2026-06-21T02:33:14+03:00

Ghost commented

2026-06-21 02:33:14 +03:00

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж).

Область: Серверный admin-gate htmlEmbed: collaboration.handler.ts, persistence.extension.ts, page.service.ts ×2, share.service.ts, import.service.ts, file-import-task.service.ts, transclusion.service.ts

Наблюдение
Security-критичная фича обеспечивается одним четырёхшаговым ритуалом (резолв роли актора → isHtmlEmbedFeatureEnabled((await workspaceRepo.findById(workspaceId))?.settings) → htmlEmbedAllowed AND → stripHtmlEmbedNodes), реплицированным по 7 call-site. Тесты пинят это хрупкими regex по тексту исходника.

Значимость
Forward-looking, не блокирует мерж: все 7 путей применяют гейт корректно. Риск — регрессия-по-упущению при добавлении нового write-пути.

Опции

Option 1 (small): хелпер stripHtmlEmbedIfNotAllowed(json, {featureEnabled, role, onStrip?}) (has-check + AND + strip + опц. лог-callback); каждый call-site сохраняет собственный резолв настроек/роли. Pros: убирает самый ошибкоопасный повтор, заменяет хрупкие regex реальной юнит-тестируемой функцией. Cons: call-site всё ещё дублируют резолв роли/настроек.
Option 2 (medium): полноценный HtmlEmbedGate-сервис, читающий настройки внутри. Pros: единая точка. Cons: прячет легитимно различающийся резолв роли (share=null vs write=actor role).
Option 3 (small): статус-кво.

Рекомендация
Option 1 — соразмерно изменению; заменяет хрупкий source-pin реальной функцией, не загоняя различия резолва роли в общий код.

Связанные: #27

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж). **Область:** Серверный admin-gate htmlEmbed: collaboration.handler.ts, persistence.extension.ts, page.service.ts ×2, share.service.ts, import.service.ts, file-import-task.service.ts, transclusion.service.ts **Наблюдение** Security-критичная фича обеспечивается одним четырёхшаговым ритуалом (резолв роли актора → `isHtmlEmbedFeatureEnabled((await workspaceRepo.findById(workspaceId))?.settings)` → `htmlEmbedAllowed` AND → `stripHtmlEmbedNodes`), реплицированным по 7 call-site. Тесты пинят это хрупкими regex по тексту исходника. **Значимость** Forward-looking, не блокирует мерж: все 7 путей применяют гейт корректно. Риск — регрессия-по-упущению при добавлении нового write-пути. **Опции** - *Option 1 (small)*: хелпер `stripHtmlEmbedIfNotAllowed(json, {featureEnabled, role, onStrip?})` (has-check + AND + strip + опц. лог-callback); каждый call-site сохраняет собственный резолв настроек/роли. Pros: убирает самый ошибкоопасный повтор, заменяет хрупкие regex реальной юнит-тестируемой функцией. Cons: call-site всё ещё дублируют резолв роли/настроек. - *Option 2 (medium)*: полноценный HtmlEmbedGate-сервис, читающий настройки внутри. Pros: единая точка. Cons: прячет легитимно различающийся резолв роли (share=null vs write=actor role). - *Option 3 (small)*: статус-кво. **Рекомендация** Option 1 — соразмерно изменению; заменяет хрупкий source-pin реальной функцией, не загоняя различия резолва роли в общий код. **Связанные:** #27

Ghost referenced this issue from a commit

2026-06-21 04:04:47 +03:00

refactor(html-embed): extract the admin-gate strip into one tested helper (#90)

Ghost referenced this issue

2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

Ghost closed this issue

2026-06-21 14:10:36 +03:00

Sign in to join this conversation.