Sto utilizzando un filtro per applicare le autorizzazioni a livello di oggetto a una raccolta. Le risorse in una seconda raccolta hanno una relazione molti-a-molti con la prima. Nell'API di navigazione, quando si creano risorse nella seconda raccolta, all'utente viene presentato un elenco di risorse dal primo a cui collegarlo. Tuttavia, questo elenco non viene filtrato, quindi l'utente può vedere valori che non dovrebbero essere in grado di vedere.Filtra le opzioni del modulo visibili nell'API navigabile
Ho spulciato la documentazione e ne ho dato un po 'e non riesco a vedere un modo per aggiungere il filtro al queryset che genera le scelte senza sovraccaricare o modificare un gruppo di codice per passare i dati della richiesta (probabilmente rimuovendo alcuni dei la raccolta di dati specifici sulla strada) e quindi applicare i filtri.
C'è un modo migliore per raggiungere questo obiettivo?
Penso davvero che questo sia un difetto di sicurezza. Quindi suggerisco: non usare l'API navigabile negli ambienti di produzione. – gabn88