fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

api.hyungi.net/config/middleware.js

@@ -51,13 +51,58 @@ function setupMiddlewares(app) {
   app.use(express.static(path.join(__dirname, '../public')));
   app.use('/uploads', express.static(path.join(__dirname, '../uploads')));
 
-  // Rate Limiting (필요시 활성화)
-  // const rateLimit = require('express-rate-limit');
-  // const limiter = rateLimit({
-  //   windowMs: 15 * 60 * 1000, // 15분
-  //   max: 100 // IP당 최대 100 요청
-  // });
-  // app.use('/api/', limiter);
+  // Rate Limiting - API 요청 제한
+  const rateLimit = require('express-rate-limit');
+
+  // 일반 API 요청 제한
+  const apiLimiter = rateLimit({
+    windowMs: 15 * 60 * 1000, // 15분
+    max: 200, // IP당 최대 200 요청
+    message: {
+      success: false,
+      error: '너무 많은 요청입니다. 잠시 후 다시 시도해주세요.',
+      code: 'RATE_LIMIT_EXCEEDED'
+    },
+    standardHeaders: true,
+    legacyHeaders: false
+  });
+
+  // 로그인 시도 제한 (브루트포스 방지)
+  const loginLimiter = rateLimit({
+    windowMs: 15 * 60 * 1000, // 15분
+    max: 10, // IP당 최대 10회 로그인 시도
+    message: {
+      success: false,
+      error: '로그인 시도 횟수를 초과했습니다. 15분 후 다시 시도해주세요.',
+      code: 'LOGIN_RATE_LIMIT_EXCEEDED'
+    },
+    standardHeaders: true,
+    legacyHeaders: false
+  });
+
+  // Rate limiter 적용
+  app.use('/api/', apiLimiter);
+  app.use('/api/auth/login', loginLimiter);
+
+  logger.info('Rate Limiting 설정 완료');
+
+  // CSRF Protection (선택적 - 필요 시 주석 해제)
+  // const { verifyCsrfToken, getCsrfToken } = require('../middlewares/csrf');
+  //
+  // CSRF 토큰 발급 엔드포인트
+  // app.get('/api/csrf-token', getCsrfToken);
+  //
+  // CSRF 검증 미들웨어 (로그인 등 일부 경로 제외)
+  // app.use('/api/', verifyCsrfToken({
+  //   ignorePaths: [
+  //     '/api/auth/login',
+  //     '/api/auth/register',
+  //     '/api/health',
+  //     '/api/csrf-token'
+  //   ]
+  // }));
+  //
+  // logger.info('CSRF Protection 설정 완료');
 
   logger.info('미들웨어 설정 완료');
 }