Security #5
Security #5
Conversation
internal/http/utils/utils.go
Outdated
| return fmt.Errorf("input is not a struct") | ||
| } | ||
|
|
||
| p := bluemonday.UGCPolicy() |
There was a problem hiding this comment.
В доке bluemonday говорится, что политику надо создавать 1 раз, а не на каждый санитайзинг
Кстати, по идее можно было обойтись без санитайзинга на стороне бэка, у вас handlebars должен на фронте санитайзить. Но, конечно, лишним не будет
There was a problem hiding this comment.
поправил
| if !checkPass(storedPassHash, password) { | ||
| return models.User{}, fmt.Errorf("%s: %w", models.LevelDB, models.ErrInvalidPassword) | ||
| } |
There was a problem hiding this comment.
Это должно происходить на уровне бизнес-логики
There was a problem hiding this comment.
поправил
| err = utils.SanitizeStruct(&req) | ||
| if err != nil { | ||
| h.logger.Error(r.Context(), "sanitize error", err) | ||
| utils.WriteResponse(w, http.StatusInternalServerError, httpErrors.ErrInternal) | ||
| return | ||
| } | ||
|
|
||
| _, err = govalidator.ValidateStruct(&req) |
There was a problem hiding this comment.
Если у вас всегда идет сначала санитайзинг, потом валидация, мб вынести в вспомогательную функцию? А то хэндлеры разрастаются
There was a problem hiding this comment.
у ValidateStruct своя логика возврата ошибки и записи в ответ именно того поля, которое не прошло валидацию, если городить проверки откуда какую ошибку отправлять не очень читаемо выходит.
No description provided.