Attualmente sto sviluppando un'API (node / express js) per un sito web di blog che utilizza un parser markdown ( showdown
) per il rendering di contenuti e un disinfettante HTML ( html-santize
) per la rimozione di html / js dannosi.
Attualmente sono al punto in cui voglio consentire a un utente di modificare un post, ma non voglio esporre il contenuto "grezzo" ad altri utenti diversi dal creatore / proprietario del post del blog.
Preferibilmente vorrei utilizzare lo stesso percorso che utilizzo per recuperare dati grezzi ( GET /blog/:id?raw=true
) che è più difficile da proteggere perché fluiscono attraverso lo stesso controller, mentre raw=false
sarebbe un percorso aperto e raw=true
sarebbe essere un percorso sicuro Potrei quindi giocherellare con alcuni middleware e cose del genere, ma sembra tutto un po 'hacky e non penso che sia un buon progetto dell'API.
L'altra opzione che sto considerando è l'implementazione di un nuovo percorso ( GET /blog/raw/:id
), che sarebbe facile da proteggere, ma avrei 2 percorsi di andata per la stessa risorsa in forme diverse.
So che qui non c'è una risposta corretta, ma mi piacerebbe sentire le tue opinioni su questo.