(김준회) fix: EDP 보고서 관리: 템플릿 파일 못찾는 문제 처리

author: joonhoekim <26rote@gmail.com> 2025-10-21 18:37:46 +0900
committer: joonhoekim <26rote@gmail.com> 2025-10-21 18:37:46 +0900
commit: 9d0f0304b744f17c2c346ba5a52ee6745a9f51af (patch)
tree: eba24f5df071d77af5c88a8879f0f0ad9ff5c26d /pages
parent: cf77558c0ccc5c0c1bc3cdd6edd9a0475e1970c8 (diff)
1 files changed, 13 insertions, 2 deletions
diff --git a/pages/api/pdftron/createVendorDataReports.ts b/pages/api/pdftron/createVendorDataReports.ts
index e145b5d5..f873bd50 100644
--- a/pages/api/pdftron/createVendorDataReports.ts
+++ b/pages/api/pdftron/createVendorDataReports.ts
@@ -90,12 +90,23 @@ function validateFileSize(size: number): { valid: boolean; error?: string } {
 function validateDirectory(directory: string): { valid: boolean; error?: string } {
   const normalizedDir = path.normalize(directory).replace(/^\/+/, '');
   
+  // 경로 탐색 공격 방지
   if (normalizedDir.includes('..') || normalizedDir.includes('//')) {
     return { valid: false, error: "안전하지 않은 디렉터리 경로입니다" };
   }
   
-  if (path.isAbsolute(directory)) {
-    return { valid: false, error: "절대 경로는 사용할 수 없습니다" };
+  // 절대 경로 검증 (단, 허용된 웹 경로 패턴은 제외)
+  const allowedPatterns = [
+    /^\/api\/files\//,           // 운영 환경: /api/files/vendorFormData/...
+    /^\/vendorFormData\//,       // 개발 환경: /vendorFormData/...
+    /^\/[\w-]+\//,               // 기타 상대 웹 경로: /directory/...
+  ];
+  
+  const isAllowedWebPath = allowedPatterns.some(pattern => pattern.test(directory));
+  
+  // Windows 절대 경로(C:\...) 또는 허용되지 않은 Unix 절대 경로 차단
+  if (path.isAbsolute(directory) && !isAllowedWebPath) {
+    return { valid: false, error: "절대 파일 시스템 경로는 사용할 수 없습니다" };
   }
   
   return { valid: true };
author	joonhoekim <26rote@gmail.com>	2025-10-21 18:37:46 +0900
committer	joonhoekim <26rote@gmail.com>	2025-10-21 18:37:46 +0900
commit	9d0f0304b744f17c2c346ba5a52ee6745a9f51af (patch)
tree	eba24f5df071d77af5c88a8879f0f0ad9ff5c26d /pages
parent	cf77558c0ccc5c0c1bc3cdd6edd9a0475e1970c8 (diff)