你好,
我今天注意到了这个问题,不确定之前是否一直如此。
基本上,帖子管理扳手图标上的 TL4(Leader)角色有“取消隐藏已标记帖子”的选项,但当帖子被标记且他们点击“取消隐藏”时,该操作无效。
复现步骤
- 让另一个账号公开发帖或通过私信发送内容
- 让任意用户标记该帖子(必须被隐藏)
- 仅拥有 TL4 权限的用户尝试取消隐藏该帖子
预期结果:
被标记的帖子将被恢复显示。
实际结果:
TL4 用户虽能看到“取消隐藏帖子”的选项,但点击后帖子并未被取消隐藏。
我已在两个运行 Discourse 2.8.0 beta 1 版本的论坛上复现了此问题。
1 个赞
我认为这可能与当前存在的某个现有问题有关:TL4 用户目前显示了标志计数,但本不应显示。@Roman,你正在处理这个问题吗?
Roman
(Roman Rizzi)
3
我已经修复了那个问题,但这个似乎无关。我明天早上再看一下。
1 个赞
Roman
(Roman Rizzi)
5
看起来这个漏洞存在已久。根据我们的 PostGuardian,只有工作人员可以取消隐藏帖子,但客户端检查用户是否为工作人员或 TL4。
我提交了一个 PR 来隐藏 TL4 用户的该按钮:
我假设这是我们想要的做法,但如果我们更希望让版主也能取消隐藏帖子,我可以调整 guardian 的逻辑。
5 个赞
