fix: 보안 취약점 수정 및 XSS 방지 적용
## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
This commit is contained in:
Hyungi Ahn
@@ -1,8 +1,10 @@
|
||||
// ✅ routes/uploadBgRoutes.js (신규: 배경 이미지 전용 업로드 라우터)
|
||||
// ✅ routes/uploadBgRoutes.js (배경 이미지 전용 업로드 라우터 - 보안 강화)
|
||||
const express = require('express');
|
||||
const router = express.Router();
|
||||
const multer = require('multer');
|
||||
const path = require('path');
|
||||
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
|
||||
const { createFileFilter, validateUploadedFile } = require('../utils/fileUploadSecurity');
|
||||
|
||||
const storage = multer.diskStorage({
|
||||
destination: (req, file, cb) => {
|
||||
@@ -13,12 +15,37 @@ const storage = multer.diskStorage({
|
||||
}
|
||||
});
|
||||
|
||||
const upload = multer({ storage });
|
||||
// 보안 강화된 파일 필터 (이미지만 허용)
|
||||
const imageFileFilter = createFileFilter({
|
||||
allowedExtensions: ['.jpg', '.jpeg', '.png', '.gif', '.webp'],
|
||||
allowedMimes: ['image/jpeg', 'image/png', 'image/gif', 'image/webp']
|
||||
});
|
||||
|
||||
router.post('/upload-bg', upload.single('image'), (req, res) => {
|
||||
const upload = multer({
|
||||
storage,
|
||||
fileFilter: imageFileFilter,
|
||||
limits: {
|
||||
fileSize: 10 * 1024 * 1024, // 10MB 제한 (배경 이미지는 크기가 클 수 있음)
|
||||
files: 1
|
||||
}
|
||||
});
|
||||
|
||||
// 관리자 권한 필요
|
||||
router.post('/upload-bg', requireAuth, requireMinLevel('admin'), upload.single('image'), async (req, res) => {
|
||||
if (!req.file) {
|
||||
return res.status(400).json({ success: false, message: '파일이 없습니다.' });
|
||||
}
|
||||
|
||||
// 업로드된 파일의 실제 내용 검증 (Magic number)
|
||||
const validation = await validateUploadedFile(req.file.path, req.file.mimetype);
|
||||
if (!validation.valid) {
|
||||
return res.status(400).json({
|
||||
success: false,
|
||||
message: validation.message,
|
||||
code: 'INVALID_FILE_TYPE'
|
||||
});
|
||||
}
|
||||
|
||||
res.json({ success: true, path: '/img/login-bg.jpeg' });
|
||||
});
|
||||
|
||||
|
||||
Reference in New Issue
Block a user