1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
|
import type { NextApiRequest, NextApiResponse } from "next";
import type { File as FormidableFile } from "formidable";
import formidable from "formidable";
import fs from "fs/promises";
import path from "path";
import { createBasicContractPdf } from "@/lib/pdftron/serverSDK/createBasicContractPdf";
export const config = {
api: {
bodyParser: false,
},
};
// 보안 설정
const SECURITY_CONFIG = {
ALLOWED_EXTENSIONS: new Set(['docx', 'doc']),
FORBIDDEN_EXTENSIONS: new Set([
'exe', 'bat', 'cmd', 'scr', 'vbs', 'js', 'jar', 'com', 'pif',
'msi', 'reg', 'ps1', 'sh', 'php', 'asp', 'jsp', 'py', 'pl',
'html', 'htm', 'xhtml', 'xml', 'svg'
]),
MAX_FILE_SIZE: 50 * 1024 * 1024, // 50MB
MAX_FILENAME_LENGTH: 255,
};
// 간단한 보안 검증 함수들
function validateExtension(fileName: string): { valid: boolean; error?: string } {
const extension = path.extname(fileName).toLowerCase().substring(1);
if (!extension) {
return { valid: false, error: "파일 확장자가 없습니다" };
}
if (SECURITY_CONFIG.FORBIDDEN_EXTENSIONS.has(extension)) {
return { valid: false, error: `금지된 파일 형식입니다: .${extension}` };
}
if (!SECURITY_CONFIG.ALLOWED_EXTENSIONS.has(extension)) {
return { valid: false, error: `허용되지 않은 파일 형식입니다: .${extension}` };
}
return { valid: true };
}
function validateFileName(fileName: string): { valid: boolean; error?: string } {
if (fileName.length > SECURITY_CONFIG.MAX_FILENAME_LENGTH) {
return { valid: false, error: "파일명이 너무 깁니다" };
}
// 위험한 문자 체크
const dangerousPatterns = [
/[<>:"'|?*]/,
/[\x00-\x1f]/,
/^\./,
/\.\./,
/\/|\\$/,
/javascript:/i,
/data:/i,
/vbscript:/i,
/on\w+=/i,
/<script/i,
/<iframe/i,
];
for (const pattern of dangerousPatterns) {
if (pattern.test(fileName)) {
return { valid: false, error: "안전하지 않은 파일명입니다" };
}
}
return { valid: true };
}
function validateFileSize(size: number): { valid: boolean; error?: string } {
if (size <= 0) {
return { valid: false, error: "파일이 비어있습니다" };
}
if (size > SECURITY_CONFIG.MAX_FILE_SIZE) {
const maxSizeMB = Math.round(SECURITY_CONFIG.MAX_FILE_SIZE / (1024 * 1024));
return { valid: false, error: `파일 크기가 너무 큽니다 (최대 ${maxSizeMB}MB)` };
}
return { valid: true };
}
function validateTemplateData(templateData: any): { valid: boolean; error?: string } {
try {
if (typeof templateData !== 'object' || templateData === null) {
return { valid: false, error: "템플릿 데이터는 객체여야 합니다" };
}
// 객체 크기 제한
const dataString = JSON.stringify(templateData);
if (dataString.length > 100000) { // 100KB
return { valid: false, error: "템플릿 데이터가 너무 큽니다" };
}
// XSS 방지 검증
const dangerousPatterns = [
/<script[\s\S]*?>/i,
/<iframe[\s\S]*?>/i,
/javascript\s*:/i,
/vbscript\s*:/i,
/on\w+\s*=/i,
];
for (const pattern of dangerousPatterns) {
if (pattern.test(dataString)) {
return { valid: false, error: "템플릿 데이터에 잠재적으로 위험한 스크립트가 포함되어 있습니다" };
}
}
return { valid: true };
} catch (error) {
return { valid: false, error: "템플릿 데이터 검증 중 오류가 발생했습니다" };
}
}
async function validateFileContent(buffer: Buffer, fileName: string): Promise<{ valid: boolean; error?: string }> {
try {
// 실행 파일 패턴 검색
const executablePatterns = [
Buffer.from([0x4D, 0x5A]), // MZ (Windows executable)
Buffer.from([0x7F, 0x45, 0x4C, 0x46]), // ELF (Linux executable)
];
for (const pattern of executablePatterns) {
if (buffer.subarray(0, pattern.length).equals(pattern)) {
return { valid: false, error: "실행 파일은 업로드할 수 없습니다" };
}
}
return { valid: true };
} catch (error) {
console.error("파일 내용 검증 오류:", error);
return { valid: false, error: "파일 내용을 검증할 수 없습니다" };
}
}
// DRM 복호화 함수 (create report 로직과 동일)
async function decryptBufferWithDRM(buffer: Buffer, originalFileName: string): Promise<Buffer> {
try {
// 1. 기본 보안 검증
const extensionCheck = validateExtension(originalFileName);
if (!extensionCheck.valid) {
console.error(`🚨 파일 확장자 보안 위반: ${originalFileName} - ${extensionCheck.error}`);
throw new Error(extensionCheck.error);
}
const fileNameCheck = validateFileName(originalFileName);
if (!fileNameCheck.valid) {
console.error(`🚨 파일명 보안 위반: ${originalFileName} - ${fileNameCheck.error}`);
throw new Error(fileNameCheck.error);
}
const sizeCheck = validateFileSize(buffer.length);
if (!sizeCheck.valid) {
console.error(`🚨 파일 크기 보안 위반: ${originalFileName} - ${sizeCheck.error}`);
throw new Error(sizeCheck.error);
}
// 2. 파일 내용 기본 검증
const contentCheck = await validateFileContent(buffer, originalFileName);
if (!contentCheck.valid) {
console.error(`🚨 파일 내용 보안 위반: ${originalFileName} - ${contentCheck.error}`);
throw new Error(contentCheck.error);
}
console.log(`✅ 보안 검증 완료: ${originalFileName}`);
// 3. DRM 복호화 진행
const blob = new Blob([buffer]);
const file = new File([blob], originalFileName);
const formData = new FormData();
formData.append('file', file);
const backendUrl = "http://localhost:6543/api/drm-proxy/decrypt";
console.log(`[DRM] 서버에서 파일 복호화 시도: ${originalFileName} (크기: ${buffer.length} bytes)`);
const response = await fetch(backendUrl, {
method: "POST",
body: formData,
});
if (!response.ok) {
const errorText = await response.text().catch(() => '응답 텍스트를 가져올 수 없음');
throw new Error(`DRM 서버 응답 오류 [${response.status}]: ${errorText}`);
}
const arrayBuffer = await response.arrayBuffer();
const decryptedBuffer = Buffer.from(arrayBuffer);
console.log(`[DRM] 서버에서 파일 복호화 성공: ${originalFileName} (결과 크기: ${decryptedBuffer.length} bytes)`);
return decryptedBuffer;
} catch (error) {
const errorMessage = error instanceof Error
? `${error.name}: ${error.message}`
: String(error);
console.error(`[DRM] 서버 복호화 오류: ${errorMessage}`, {
fileName: originalFileName,
fileSize: buffer.length,
error
});
// 보안 검증 실패인 경우 원본도 반환하지 않음
if (errorMessage.includes('보안') || errorMessage.includes('위반') || errorMessage.includes('금지된') || errorMessage.includes('허용되지')) {
throw error; // 보안 오류는 재throw
}
return buffer; // 일반적인 DRM 오류는 원본 버퍼 반환 (폴백)
}
}
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
if (req.method !== "POST") {
return res.status(405).json({ error: "Method not allowed" });
}
// 요청 ID 생성 (로깅용)
const requestId = `basiccontract_${Date.now()}_${Math.random().toString(36).substr(2, 9)}`;
console.log(`🚀 [${requestId}] 기본계약서 PDF 변환 요청 시작`);
try {
const form = formidable({
multiples: false,
maxFileSize: SECURITY_CONFIG.MAX_FILE_SIZE,
maxFieldsSize: 10 * 1024 * 1024, // 10MB 필드 크기 제한
maxFields: 20, // 최대 필드 수 제한
});
form.parse(req, async (err, fields, files) => {
if (err) {
console.error(`❌ [${requestId}] Form parsing 오류:`, err);
return res.status(500).json({
error: "파일 업로드 처리 중 오류가 발생했습니다",
requestId
});
}
try {
const outputFileName = fields?.outputFileName?.[0] ?? "";
const templateFile: FormidableFile | undefined = files?.templateFile?.[0];
// 1. 기본 필드 검증
if (!templateFile || outputFileName.length === 0) {
return res.status(400).json({
error: "필수 데이터가 누락되었습니다 (템플릿 파일, 출력 파일명)",
requestId
});
}
// 2. 파일명 보안 검증
const fileNameCheck = validateFileName(outputFileName);
if (!fileNameCheck.valid) {
console.error(`🚨 [${requestId}] 출력 파일명 보안 위반:`, fileNameCheck.error);
return res.status(400).json({
error: `출력 파일명 오류: ${fileNameCheck.error}`,
requestId
});
}
// 3. 템플릿 데이터 파싱 및 검증
let templateData: any = {};
try {
const templateDataString = fields?.templateData?.[0] ?? "{}";
templateData = JSON.parse(templateDataString);
} catch (parseError) {
console.error(`❌ [${requestId}] 템플릿 데이터 파싱 오류:`, parseError);
return res.status(400).json({
error: "템플릿 데이터 형식이 올바르지 않습니다",
requestId
});
}
const dataValidation = validateTemplateData(templateData);
if (!dataValidation.valid) {
console.error(`🚨 [${requestId}] 템플릿 데이터 보안 위반:`, dataValidation.error);
return res.status(400).json({
error: `템플릿 데이터 오류: ${dataValidation.error}`,
requestId
});
}
console.log(`✅ [${requestId}] 모든 보안 검증 완료 - 파일 처리 시작`);
// 4. 원본 파일 읽기
const originalBuffer = await fs.readFile(templateFile.filepath);
// const publicDir = path.join(process.cwd(), "public", "basicContract");
// const testBuffer = await fs.readFile(path.join(publicDir, "test123.docx"));
// console.log(testBuffer);
// 5. DRM 복호화 처리 (보안 검증 포함)
// console.log(`🔐 [${requestId}] DRM 복호화 시작: ${templateFile.originalFilename || 'unknown'}`);
// const decryptedBuffer = await decryptBufferWithDRM(
// originalBuffer,
// templateFile.originalFilename || 'template.docx'
// );
// 6. 복호화된 버퍼로 기본계약서 PDF 생성
console.log(`📄 [${requestId}] 기본계약서 PDF 생성 시작`);
const {
result,
buffer: pdfBuffer,
error,
} = await createBasicContractPdf(originalBuffer, templateData);
if (result && pdfBuffer) {
console.log(`✅ [${requestId}] 기본계약서 PDF 생성 성공: ${outputFileName}`);
// 보안 헤더 설정
res.setHeader("Content-Type", "application/pdf");
// 한글 파일명을 위한 UTF-8 인코딩
const encodedFileName = encodeURIComponent(outputFileName);
res.setHeader("Content-Disposition", `attachment; filename*=UTF-8''${encodedFileName}`);
res.setHeader("X-Content-Type-Options", "nosniff");
res.setHeader("X-Frame-Options", "DENY");
res.setHeader("Cache-Control", "no-cache, no-store, must-revalidate");
return res.send(Buffer.from(pdfBuffer));
}
console.error(`❌ [${requestId}] 기본계약서 PDF 생성 실패:`, error);
return res.status(500).json({
success: false,
message: "기본계약서 PDF 생성에 실패하였습니다.",
error,
requestId,
});
} catch (e) {
console.error(`❌ [${requestId}] 처리 중 오류:`, e);
// 보안 오류와 일반 오류 구분
const errorMessage = e instanceof Error ? e.message : "처리 중 오류가 발생했습니다";
const isSecurityError = errorMessage.includes('보안') || errorMessage.includes('위반') ||
errorMessage.includes('금지된') || errorMessage.includes('허용되지');
return res.status(isSecurityError ? 400 : 500).json({
error: isSecurityError ? errorMessage : "처리 중 오류가 발생했습니다",
requestId
});
}
});
} catch (err) {
console.error(`❌ [${requestId}] 전역 오류:`, err);
return res.status(500).json({
error: "서버 내부 오류가 발생했습니다",
requestId
});
}
}
|
