security-review

# 安全审查技能 此技能确保所有代码遵循安全最佳实践，并识别潜在漏洞。 ## 何时激活 - 实现身份验证或授权 - 处理用户输入或文件上传 - 创建新的 API 端点 - 使用密钥或凭据 - 实现支付功能 - 存储或传输敏感数据 - 集成第三方 API ## 安全检查清单 ### 1. 密钥管理 #### ❌ 永远不要这样做 typescript const apiKey = "sk-proj-xxxxx" // 硬编码密钥 const dbPassword = "password123" // 在源代码中 #### ✅ 始终这样做 typescript const apiKey = process.env.OPENAI_API_KEY const dbUrl = process.env.DATABASE_URL // 验证密钥是否存在 if (!apiKey) { throw new Error('OPENAI_API_KEY 未配置') } #### 验证步骤 - [ ] 无硬编码的 API 密钥、令牌或密码 - [ ] 所有密钥均在环境变量中 - [ ] `.env.local` 已加入 .gitignore - [ ] Git 历史记录中无密钥 - [ ] 生产环境密钥存储在托管平台 (Vercel, Railway) ### 2. 输入验证 #### 始终验证用户输入 typescript import { z } from 'zod' // 定义验证模式 const CreateUserSchema = z.object({ email: z.string().email(), name: z.string().min(1).max(100), age: z.number().int().min(0).max(150) }) // 处理前进行验证 export async function createUser(input: unknown) { try { const validated = CreateUserSchema.parse(input) return await db.users.create(validated) } catch (error) { if (error instanceof z.ZodError) { return { success: false, errors: error.errors } } throw error } } #### 文件上传验证 typescript function validateFileUpload(file: File) { // 大小检查 (最大 5MB) const maxSize = 5 * 1024 * 1024 if (file.size > maxSize) { throw new Error('文件过大 (最大 5MB)') } // 类型检查 const allowedTypes = ['image/jpeg', 'image/png', 'image/gif'] if (!allowedTypes.includes(file.type)) { throw new Error('无效的文件类型') } // 后缀检查 const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif'] const extension = file.name.toLowerCase().match(/.[^.]+$/)?.[0] if (!extension || !allowedExtensions.includes(extension)) { throw new Error('无效的文件后缀') } return true } #### 验证步骤 - [ ] 所有用户输入均通过模式验证 - [ ] 文件上传受限 (大小、类型、后缀) - [ ] 禁止在查询中直接使用用户输入