Developer
80d54c53a0
fix: 全面代码审计修复 P0/P1/P2 共16项安全与质量问题
P0 安全漏洞修复(4项):
- S1: FileUploadController 添加文件扩展名+MIME类型+上传type白名单(防RCE)
- S2: FileUploadController 添加@RequiresRole强制认证(防认证绕过)
- S3: Actuator仅暴露health端点, SecurityConfig denyAll非health
- S4: Swagger添加SWAGGER_ENABLED环境变量控制, 移除认证排除路径
P1 高危问题修复(7项):
- S5: login.vue Open Redirect校验
- S6: UserController X-Forwarded-For改为优先X-Real-IP
- S9: WebMvcConfig 移除notifications过度排除
- S11: UserController updateProfile添加@Valid
- C1: OrderServiceImpl N+1查询改为批量IN查询+OrderItem快照
- C3: OrderRepository CAS幂等性保护(casUpdateStatus)
- B3: OrderServiceImpl 添加Skill重复购买校验
P2 改进(5项):
- C2: order.js 移除前端paymentNo生成
- C5: order.js pageSize从100改为20
- F2: apiService.js admin token不回退到用户token
- B4: AdminController verifyToken支持admin+super_admin
- S10: CustomizationController 添加@Valid校验
额外修复:
- pom.xml 添加spring-boot-starter-aop依赖(解决编译错误)
- 审计报告追加修复记录章节, 项目评级B+升至A-
2026-03-19 12:31:53 +08:00
..
2026-03-19 12:31:53 +08:00
2026-03-17 12:09:43 +08:00
2026-03-17 12:09:43 +08:00
2026-03-17 12:09:43 +08:00
2026-03-17 12:09:43 +08:00