Merge pull request from GHSA-c7p6-c688-fhgp

* FixSec: スタンプを経由してカスタム絵文字のデータを改竄できる問題 * Fix: 相乗り絵文字が受け取れない問題とテスト * Change: 相乗りスタンプは常にオリジナルの情報を参照 * Fix: uriまで偽装した場合に対応
2023-10-26 08:22:24 +09:00 · 2023-10-26 08:22:24 +09:00 · e6ad0ec41a
commit e6ad0ec41a
parent c485044a1e
3 changed files with 127 additions and 10 deletions
--- a/app/serializers/activitypub/emoji_serializer.rb
+++ b/app/serializers/activitypub/emoji_serializer.rb
@ -5,7 +5,7 @@ class ActivityPub::EmojiSerializer < ActivityPub::Serializer

  context_extensions :emoji

-  attributes :id, :type, :domain, :name, :is_sensitive, :updated
+  attributes :id, :type, :name, :is_sensitive, :updated

  attribute :license, if: -> { object.license.present? }

@ -19,10 +19,6 @@ class ActivityPub::EmojiSerializer < ActivityPub::Serializer
    'Emoji'
  end

-  def domain
-    object.domain.presence || Rails.configuration.x.local_domain
-  end
-
  def icon
    object.image
  end