enhance(api): ap系のエンドポイントをログイン必須化+レートリミット追加

他のサーバーにリクエストを送信するという性質上、攻撃の踏み台にされることがあるため
2021-10-08 14:05:07 +09:00 · 2021-10-08 14:05:07 +09:00 · 5bf69476f6
commit 5bf69476f6
parent 597c9761cb
3 changed files with 15 additions and 2 deletions
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@ -15,6 +15,7 @@
 - クライアント: アニメーションを減らす設定をメニューのアニメーションにも適用するように
 - クライアント: MFM関数構文のサジェストを実装
 - ActivityPub: HTML -> MFMの変換を強化
 - API: ap系のエンドポイントをログイン必須化+レートリミット追加
 ### Bugfixes
 - Fix createDeleteAccountJob
--- a/src/server/api/endpoints/ap/get.ts
+++ b/src/server/api/endpoints/ap/get.ts
@ -2,11 +2,17 @@ import $ from 'cafy';
 import define from '../../define';
 import Resolver from '@/remote/activitypub/resolver';
 import { ApiError } from '../../error';
 import ms from 'ms';
 export const meta = {
 	tags: ['federation'],
-	requireCredential: false as const,
+	requireCredential: true as const,
 	limit: {
 		duration: ms('1hour'),
 		max: 30
 	},
 	params: {
 		uri: {
--- a/src/server/api/endpoints/ap/show.ts
+++ b/src/server/api/endpoints/ap/show.ts
@ -11,11 +11,17 @@ import { Note } from '@/models/entities/note';
 import { User } from '@/models/entities/user';
 import { fetchMeta } from '@/misc/fetch-meta';
 import { isActor, isPost, getApId } from '@/remote/activitypub/type';
 import ms from 'ms';
 export const meta = {
 	tags: ['federation'],
-	requireCredential: false as const,
+	requireCredential: true as const,
 	limit: {
 		duration: ms('1hour'),
 		max: 30
 	},
 	params: {
 		uri: {