fix: 보안 취약점 수정 및 XSS 방지 적용
## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
This commit is contained in:
Hyungi Ahn
@@ -21,12 +21,7 @@ exports.createProject = asyncHandler(async (req, res) => {
|
||||
|
||||
logger.info('프로젝트 생성 요청', { name: projectData.name });
|
||||
|
||||
const id = await new Promise((resolve, reject) => {
|
||||
projectModel.create(projectData, (err, lastID) => {
|
||||
if (err) reject(new DatabaseError('프로젝트 생성 중 오류가 발생했습니다'));
|
||||
else resolve(lastID);
|
||||
});
|
||||
});
|
||||
const id = await projectModel.create(projectData);
|
||||
|
||||
// 프로젝트 캐시 무효화
|
||||
await cache.invalidateCache.project();
|
||||
@@ -44,12 +39,7 @@ exports.createProject = asyncHandler(async (req, res) => {
|
||||
* 전체 프로젝트 조회
|
||||
*/
|
||||
exports.getAllProjects = asyncHandler(async (req, res) => {
|
||||
const rows = await new Promise((resolve, reject) => {
|
||||
projectModel.getAll((err, data) => {
|
||||
if (err) reject(new DatabaseError('프로젝트 목록 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const rows = await projectModel.getAll();
|
||||
|
||||
res.json({
|
||||
success: true,
|
||||
@@ -62,12 +52,7 @@ exports.getAllProjects = asyncHandler(async (req, res) => {
|
||||
* 활성 프로젝트만 조회 (작업보고서용)
|
||||
*/
|
||||
exports.getActiveProjects = asyncHandler(async (req, res) => {
|
||||
const rows = await new Promise((resolve, reject) => {
|
||||
projectModel.getActiveProjects((err, data) => {
|
||||
if (err) reject(new DatabaseError('활성 프로젝트 목록 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const rows = await projectModel.getActiveProjects();
|
||||
|
||||
res.json({
|
||||
success: true,
|
||||
@@ -86,12 +71,7 @@ exports.getProjectById = asyncHandler(async (req, res) => {
|
||||
throw new ValidationError('유효하지 않은 프로젝트 ID입니다');
|
||||
}
|
||||
|
||||
const row = await new Promise((resolve, reject) => {
|
||||
projectModel.getById(id, (err, data) => {
|
||||
if (err) reject(new DatabaseError('프로젝트 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const row = await projectModel.getById(id);
|
||||
|
||||
if (!row) {
|
||||
throw new NotFoundError('프로젝트를 찾을 수 없습니다');
|
||||
@@ -116,12 +96,7 @@ exports.updateProject = asyncHandler(async (req, res) => {
|
||||
|
||||
const data = { ...req.body, project_id: id };
|
||||
|
||||
const changes = await new Promise((resolve, reject) => {
|
||||
projectModel.update(data, (err, ch) => {
|
||||
if (err) reject(new DatabaseError('프로젝트 수정 중 오류가 발생했습니다'));
|
||||
else resolve(ch);
|
||||
});
|
||||
});
|
||||
const changes = await projectModel.update(data);
|
||||
|
||||
if (changes === 0) {
|
||||
throw new NotFoundError('프로젝트를 찾을 수 없습니다');
|
||||
@@ -149,12 +124,7 @@ exports.removeProject = asyncHandler(async (req, res) => {
|
||||
throw new ValidationError('유효하지 않은 프로젝트 ID입니다');
|
||||
}
|
||||
|
||||
const changes = await new Promise((resolve, reject) => {
|
||||
projectModel.remove(id, (err, ch) => {
|
||||
if (err) reject(new DatabaseError('프로젝트 삭제 중 오류가 발생했습니다'));
|
||||
else resolve(ch);
|
||||
});
|
||||
});
|
||||
const changes = await projectModel.remove(id);
|
||||
|
||||
if (changes === 0) {
|
||||
throw new NotFoundError('프로젝트를 찾을 수 없습니다');
|
||||
|
||||
@@ -27,12 +27,7 @@ exports.createTask = asyncHandler(async (req, res) => {
|
||||
|
||||
logger.info('작업 생성 요청', { name: taskData.task_name });
|
||||
|
||||
const id = await new Promise((resolve, reject) => {
|
||||
taskModel.createTask(taskData, (err, lastID) => {
|
||||
if (err) reject(new DatabaseError('작업 생성 중 오류가 발생했습니다'));
|
||||
else resolve(lastID);
|
||||
});
|
||||
});
|
||||
const id = await taskModel.createTask(taskData);
|
||||
|
||||
logger.info('작업 생성 성공', { task_id: id });
|
||||
|
||||
@@ -47,12 +42,7 @@ exports.createTask = asyncHandler(async (req, res) => {
|
||||
* 전체 작업 조회
|
||||
*/
|
||||
exports.getAllTasks = asyncHandler(async (req, res) => {
|
||||
const rows = await new Promise((resolve, reject) => {
|
||||
taskModel.getAllTasks((err, data) => {
|
||||
if (err) reject(new DatabaseError('작업 목록 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const rows = await taskModel.getAllTasks();
|
||||
|
||||
res.json({
|
||||
success: true,
|
||||
@@ -65,12 +55,7 @@ exports.getAllTasks = asyncHandler(async (req, res) => {
|
||||
* 활성 작업만 조회
|
||||
*/
|
||||
exports.getActiveTasks = asyncHandler(async (req, res) => {
|
||||
const rows = await new Promise((resolve, reject) => {
|
||||
taskModel.getActiveTasks((err, data) => {
|
||||
if (err) reject(new DatabaseError('활성 작업 목록 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const rows = await taskModel.getActiveTasks();
|
||||
|
||||
res.json({
|
||||
success: true,
|
||||
@@ -89,12 +74,7 @@ exports.getTasksByWorkType = asyncHandler(async (req, res) => {
|
||||
throw new ValidationError('공정 ID가 필요합니다');
|
||||
}
|
||||
|
||||
const rows = await new Promise((resolve, reject) => {
|
||||
taskModel.getTasksByWorkType(workTypeId, (err, data) => {
|
||||
if (err) reject(new DatabaseError('공정별 작업 목록 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const rows = await taskModel.getTasksByWorkType(workTypeId);
|
||||
|
||||
res.json({
|
||||
success: true,
|
||||
@@ -109,12 +89,7 @@ exports.getTasksByWorkType = asyncHandler(async (req, res) => {
|
||||
exports.getTaskById = asyncHandler(async (req, res) => {
|
||||
const taskId = req.params.id;
|
||||
|
||||
const task = await new Promise((resolve, reject) => {
|
||||
taskModel.getTaskById(taskId, (err, data) => {
|
||||
if (err) reject(new DatabaseError('작업 조회 중 오류가 발생했습니다'));
|
||||
else resolve(data);
|
||||
});
|
||||
});
|
||||
const task = await taskModel.getTaskById(taskId);
|
||||
|
||||
if (!task) {
|
||||
throw new NotFoundError('작업을 찾을 수 없습니다');
|
||||
@@ -140,12 +115,7 @@ exports.updateTask = asyncHandler(async (req, res) => {
|
||||
|
||||
logger.info('작업 수정 요청', { task_id: taskId });
|
||||
|
||||
await new Promise((resolve, reject) => {
|
||||
taskModel.updateTask(taskId, taskData, (err, result) => {
|
||||
if (err) reject(new DatabaseError('작업 수정 중 오류가 발생했습니다'));
|
||||
else resolve(result);
|
||||
});
|
||||
});
|
||||
await taskModel.updateTask(taskId, taskData);
|
||||
|
||||
logger.info('작업 수정 성공', { task_id: taskId });
|
||||
|
||||
@@ -163,12 +133,7 @@ exports.deleteTask = asyncHandler(async (req, res) => {
|
||||
|
||||
logger.info('작업 삭제 요청', { task_id: taskId });
|
||||
|
||||
await new Promise((resolve, reject) => {
|
||||
taskModel.deleteTask(taskId, (err, result) => {
|
||||
if (err) reject(new DatabaseError('작업 삭제 중 오류가 발생했습니다'));
|
||||
else resolve(result);
|
||||
});
|
||||
});
|
||||
await taskModel.deleteTask(taskId);
|
||||
|
||||
logger.info('작업 삭제 성공', { task_id: taskId });
|
||||
|
||||
|
||||
Reference in New Issue
Block a user