Cliccando sul contatore delle reazioni si verifica un loop 403 se un post è nascosto

Il backend /discourse-reactions/app/controllers/discourse_reactions/custom_reactions_controller.rb utilizza guardian.ensure_can_see!(post) per impedire agli utenti senza autorizzazione di caricare le reazioni quando un post è nascosto.

Tuttavia, il frontend continua a visualizzare il contatore delle reazioni; pertanto, quando gli utenti fanno clic sul contatore delle reazioni di un post nascosto, si verifica un caricamento infinito con errore 403 Forbidden durante la richiesta a /discourse-reactions/posts/xxx/reactions-users-list.json.

Questo commit aggiunge una protezione simile nel frontend, nascondendo il contatore delle reazioni quando args.post.hidden && !args.post.can_see_hidden_post, risolvendo così il problema.

https://private-user-images.githubusercontent.com/77799160/595836870-87c39f7f-5b8b-4555-a877-fe74714e16ca.png?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.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.Yt3iCEvZNcQmOXCn6kwviEAkLMe0efWZXkeohflv2Wg

PR: FIX: reactions shouldn't be visible to users without see_hidden_post permission if a post is hidden by small-lovely-cat · Pull Request #40216 · discourse/discourse · GitHub

Grazie per questo! L’ho appena unito