fix(security): 전체 서비스 보안 점검 — XSS·인가·토큰·헤더·에러마스킹 일괄 수정

Phase 1 CRITICAL XSS:
- marked.parse() → DOMPurify.sanitize() (system3 ai-assistant, issues-management)
- toast innerHTML에 escapeHtml 적용 (system1 api-base, system3 common-header)
- onclick 핸들러 → data 속성 + addEventListener (system2 issue-detail)

Phase 2 HIGH 인가:
- getUserBalance 본인확인 추가 (tksupport vacationController)

Phase 3 HIGH 토큰+CSP:
- localStorage 토큰 저장 제거 — 쿠키 전용 (7개 서비스)
- unsafe-eval CSP 제거 (system1 security.js)

Phase 4 MEDIUM:
- nginx 보안 헤더 추가 (8개 서비스)
- 500 에러 메시지 마스킹 (5개 API)
- path traversal 방지 (system3 file_service.py)
- cookie fallback 데드코드 제거 (4개 auth.js)
- /login/form rate limiting 추가 (sso-auth)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

sso-auth-service/controllers/authController.js

@@ -127,8 +127,17 @@ async function loginForm(req, res, next) {
       return res.status(400).json({ detail: 'Missing username or password' });
     }
 
+    // Rate limiting (동일 로직: /login과 공유)
+    const attemptKey = `login_attempts:${username}`;
+    const attempts = parseInt(await redis.get(attemptKey)) || 0;
+    if (attempts >= MAX_LOGIN_ATTEMPTS) {
+      return res.status(429).json({ detail: '로그인 시도 횟수를 초과했습니다. 5분 후 다시 시도하세요' });
+    }
+
     const user = await userModel.findByUsername(username);
     if (!user) {
+      await redis.incr(attemptKey);
+      await redis.expire(attemptKey, LOGIN_LOCKOUT_SECONDS);
       return res.status(401).json({ detail: 'Incorrect username or password' });
     }
 
@@ -139,9 +148,14 @@ async function loginForm(req, res, next) {
 
     const valid = await userModel.verifyPassword(password, user.password_hash);
     if (!valid) {
+      await redis.incr(attemptKey);
+      await redis.expire(attemptKey, LOGIN_LOCKOUT_SECONDS);
       return res.status(401).json({ detail: 'Incorrect username or password' });
     }
 
+    // 로그인 성공 시 시도 횟수 초기화
+    await redis.del(attemptKey);
+
     await userModel.updateLastLogin(user.user_id);
 
     const payload = createTokenPayload(user);