[WYSIWYG] ページ権限ユーザーがファイルアップロードに失敗する問題を修正しました

[gakigaki]

概要

WYSIWYG のファイルアップロードで、ベース権限がゲストでもページ権限により編集可能なユーザーがアップロードに失敗する不具合を修正しました。

変更内容

• app/Http/Middleware/ConnectPage.php で、ページ解決処理を整理しました。
• ルートの page_id を最優先し、post_upload のときだけ POST ボディの page_id を fallback として利用するようにしました。
• /upload と /upload/face でページ文脈が復元されることを確認する Feature テストを追加しました。
• upload 以外の POST では body の page_id を見ないことと、route の page_id が body より優先されることをテストで確認しました。

背景と目的

Issue #2397 で、Connect-CMS v1.41.1 適用後に、ページ権限で編集可能なユーザーが WYSIWYG からファイルアップロードできなくなる事象が報告されました。

原因は、ConnectPage のページ取得元がルートパラメータ優先へ変わった一方で、WYSIWYG のアップロード処理は /upload と /upload/face に POST しており、ルートに page_id を持たないことでした。その結果、ページ権限判定に必要なページ文脈を復元できず、従来は成功していたアップロードが {"location":"error"} で失敗していました。

今回の修正では、upload 系ルートに限って body の page_id を補完に使うことで、従来の権限判定を復旧することを目的としています。

特記事項

• ルート追加はしていません。
• WYSIWYG 側の送信先や page_id の送信仕様は変更していません。
• fallback 対象は post_upload に限定しており、upload 以外の POST には広げていません。
• Uploads.page_id の保存処理は従来どおり request body の値を利用しています。
• ReservationManage のようなページ非紐付け画面の upload 権限整理は今回の対象外です。

レビュー完了希望日

不具合対応のため、2026年4月10日までに確認いただけると助かります。

関連Pull requests/Issues

Fixes #2397

参考

• Issue: [WYSIWYG] ページ権限により編集可能なゲスト権限ユーザーがファイルアップロードで失敗する #2397
• 実施した確認
  • docker compose exec -T webapp php vendor/bin/phpunit tests/Feature/Core/ConnectPageUploadFallbackTest.php
  • 結果: OK (4 tests, 18 assertions)

DB変更の有無

無し

チェックリスト

• プルリクエストにわかりやすいタイトルとラベルを付けました。https://github.com/opensource-workshop/connect-cms/wiki/Pull-requests-Rule