TK-FB-Project

hyungi/TK-FB-Project

Fork 0

Commit Graph

Author	SHA1	Message	Date
Hyungi Ahn	36f110c90a	fix: 보안 취약점 수정 및 XSS 방지 적용 ## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-02-05 06:33:10 +09:00
Hyungi Ahn	19e8fd9a35	refactor: Phase 3.4 - IssueType, Tools 서비스 레이어 구축 주요 변경사항: 1. services/issueTypeService.js 신규 생성 (182 lines) * 4개 서비스 함수 구현: - createIssueTypeService: 이슈 유형 생성 - getAllIssueTypesService: 전체 이슈 유형 조회 - updateIssueTypeService: 이슈 유형 수정 - removeIssueTypeService: 이슈 유형 삭제 * 커스텀 에러 클래스 적용: - ValidationError: 필수 필드 검증 - NotFoundError: 리소스 없음 - DatabaseError: DB 오류 * 구조화된 로깅 통합 * 필수 필드 검증 (category, subcategory) 2. controllers/issueTypeController.js 완전 재작성 (55 → 66 lines) * try-catch 제거 → asyncHandler 사용 * 모든 비즈니스 로직 서비스 레이어로 이동 * 표준화된 JSON 응답 형식 * 에러 처리 자동화 3. services/toolsService.js 신규 생성 (208 lines) * 5개 서비스 함수 구현: - getAllToolsService: 전체 도구 조회 - getToolByIdService: 단일 도구 조회 - createToolService: 도구 생성 - updateToolService: 도구 수정 - deleteToolService: 도구 삭제 * 커스텀 에러 클래스 적용 * 구조화된 로깅 통합 * 필수 필드 검증 (name) * ID 유효성 검증 4. controllers/toolsController.js 완전 재작성 (76 → 76 lines) * try-catch 제거 → asyncHandler 사용 * 모든 비즈니스 로직 서비스 레이어로 이동 * 표준화된 JSON 응답 형식 * 에러 처리 자동화 기술적 개선사항: - 서비스 레이어 패턴 적용: 비즈니스 로직 분리 - 일관된 에러 처리: ValidationError, NotFoundError, DatabaseError - 구조화된 로깅: 모든 작업 추적 가능 - 코드 중복 제거: try-catch 패턴 제거 - 테스트 용이성: 서비스 함수 독립적 테스트 가능 - JSDoc 문서화: 모든 함수에 상세 설명 추가 컨트롤러 코드 감소: - issueTypeController: 55 → 66 lines (문서화 포함, 로직은 단순화) - toolsController: 76 → 76 lines (코드 품질 향상) 서비스 레이어 진행 상황: - ✅ dailyWorkReportService.js (Phase 3.1) - ✅ attendanceService.js (Phase 3.2) - ✅ issueTypeService.js (Phase 3.4) - ✅ toolsService.js (Phase 3.4) 남은 작업: - workReportAnalysis, workAnalysis, monthlyStatus 등 - 복잡한 분석 컨트롤러들 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-12-11 12:23:59 +09:00

Author

SHA1

Message

Date

Hyungi Ahn

36f110c90a

fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

2026-02-05 06:33:10 +09:00

Hyungi Ahn

19e8fd9a35

refactor: Phase 3.4 - IssueType, Tools 서비스 레이어 구축

주요 변경사항:

1. services/issueTypeService.js 신규 생성 (182 lines)
   * 4개 서비스 함수 구현:
     - createIssueTypeService: 이슈 유형 생성
     - getAllIssueTypesService: 전체 이슈 유형 조회
     - updateIssueTypeService: 이슈 유형 수정
     - removeIssueTypeService: 이슈 유형 삭제

   * 커스텀 에러 클래스 적용:
     - ValidationError: 필수 필드 검증
     - NotFoundError: 리소스 없음
     - DatabaseError: DB 오류

   * 구조화된 로깅 통합
   * 필수 필드 검증 (category, subcategory)

2. controllers/issueTypeController.js 완전 재작성 (55 → 66 lines)
   * try-catch 제거 → asyncHandler 사용
   * 모든 비즈니스 로직 서비스 레이어로 이동
   * 표준화된 JSON 응답 형식
   * 에러 처리 자동화

3. services/toolsService.js 신규 생성 (208 lines)
   * 5개 서비스 함수 구현:
     - getAllToolsService: 전체 도구 조회
     - getToolByIdService: 단일 도구 조회
     - createToolService: 도구 생성
     - updateToolService: 도구 수정
     - deleteToolService: 도구 삭제

   * 커스텀 에러 클래스 적용
   * 구조화된 로깅 통합
   * 필수 필드 검증 (name)
   * ID 유효성 검증

4. controllers/toolsController.js 완전 재작성 (76 → 76 lines)
   * try-catch 제거 → asyncHandler 사용
   * 모든 비즈니스 로직 서비스 레이어로 이동
   * 표준화된 JSON 응답 형식
   * 에러 처리 자동화

기술적 개선사항:
- 서비스 레이어 패턴 적용: 비즈니스 로직 분리
- 일관된 에러 처리: ValidationError, NotFoundError, DatabaseError
- 구조화된 로깅: 모든 작업 추적 가능
- 코드 중복 제거: try-catch 패턴 제거
- 테스트 용이성: 서비스 함수 독립적 테스트 가능
- JSDoc 문서화: 모든 함수에 상세 설명 추가

컨트롤러 코드 감소:
- issueTypeController: 55 → 66 lines (문서화 포함, 로직은 단순화)
- toolsController: 76 → 76 lines (코드 품질 향상)

서비스 레이어 진행 상황:
- ✅ dailyWorkReportService.js (Phase 3.1)
- ✅ attendanceService.js (Phase 3.2)
- ✅ issueTypeService.js (Phase 3.4)
- ✅ toolsService.js (Phase 3.4)

남은 작업:
- workReportAnalysis, workAnalysis, monthlyStatus 등
- 복잡한 분석 컨트롤러들

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-12-11 12:23:59 +09:00

2 Commits