Maxim Dolgolyov
952a54f97c
## P0 - admin.html:2608, red-book-ecosystem.html:489-495 — XSS: u.name/node.name_ru/description обернуты в LS.esc() - classController.js getAnnouncements — добавлена проверка teacher_id (B14: учитель A не может читать объявления класса B) ## P1 — auth & validation - authController.js — минимум пароля 6→8 символов (register + change password + login.html) - gamificationController adminAward — валидация max XP/coins (1M), Number coercion - shopController adminAwardCoins — валидация max + проверка changes>0 ## P1 — race conditions - petController.buyBg — atomic UPDATE WHERE coins>=? (race-safe) - shopController.purchaseItem — atomic conditional UPDATE - liveController — добавлен question_id в live_answers (миграция с пересозданием таблицы), история ответов сохраняется при смене вопроса учителем - ws-server: invalidateDrawCache экспортирован, classroomController grant/revoke вызывают его → permission revoke применяется мгновенно (раньше до 10s stale) ## P1 — rate limits & retry - rateLimit middleware: новый параметр byUser=true (использует req.user.id вместо IP — не блокирует пользователей за NAT) - routes/classroom.js: reactionLimiter (15/5s) на /chat/:msgId/react, handLimiter (5/5s) на raise/lower hand - api.js sendAnswer — retry 3x с exp backoff (300/1200/2700ms), не повторяет на 4xx (F5) ## P1 — performance - classroomController.getStrokes — LIMIT 5000 + флаг hasMore (защита от OOM на 10K+ strokes) - whiteboard.js _liveStrokes — TTL 1.5s на каждый live preview (auto-cleanup при крашe ремоут юзера) ## Infrastructure - config.js: TURN_URL/USER/PASS env vars - server.js: GET /api/ice-servers возвращает STUN + опциональный TURN из env - classroom-rtc.js: фетчит /api/ice-servers вместо хардкода (поддержка TURN для NAT/CGNAT школьных сетей) - .env.example: документация TURN - db.js: PRAGMA synchronous=NORMAL (5x быстрее с WAL), cache_size 16MB, temp_store=MEMORY - ws-server.js closeAll() + server.js shutdown — graceful WS shutdown при SIGTERM ## False positives (не баги, агенты ошиблись) - assignmentController FK на tests — на самом деле users (migrate.js:317-318) - .env в git — gitignore корректно исключает - admin.html без requireAuth — есть LS.initPage() который вызывает requireAuth - submissionsController IDOR — обе ручки уже проверяют teacher_id - screenSender = null inside try/catch — на самом деле снаружи - SSE без backoff — есть exponential 2s→30s - sessionController NOT IN на пустом массиве — есть guard usedIds.length>0 - getChat без LIMIT — есть LIMIT 100/200 - trust proxy — установлен на server.js:105 Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
45 lines
1.5 KiB
JavaScript
45 lines
1.5 KiB
JavaScript
/* Simple in-memory rate limiter — no external dependency needed */
|
|
|
|
// Clean stale entries every 5 minutes across all stores
|
|
const _allStores = new Set();
|
|
setInterval(() => {
|
|
const now = Date.now();
|
|
for (const store of _allStores) {
|
|
for (const [key, entry] of store) {
|
|
if (now > entry.resetAt) store.delete(key);
|
|
}
|
|
}
|
|
}, 5 * 60 * 1000).unref();
|
|
|
|
module.exports = function rateLimit({ windowMs = 60_000, max = 10, message = 'Too many requests, please try again later', byUser = false } = {}) {
|
|
// Skip rate limiting in test environment
|
|
if (process.env.NODE_ENV === 'test') return (_req, _res, next) => next();
|
|
|
|
// Each rateLimit() call gets its own isolated store — counters don't bleed between limiters
|
|
const store = new Map();
|
|
_allStores.add(store);
|
|
|
|
return (req, res, next) => {
|
|
// Per-user key (when authenticated and byUser=true) avoids penalising users who share a NAT;
|
|
// otherwise fall back to IP. trust proxy is set in server.js so req.ip honors X-Forwarded-For.
|
|
const key = (byUser && req.user?.id != null)
|
|
? `u:${req.user.id}`
|
|
: (req.ip || req.socket?.remoteAddress || 'unknown');
|
|
const now = Date.now();
|
|
let entry = store.get(key);
|
|
|
|
if (!entry || now > entry.resetAt) {
|
|
entry = { count: 0, resetAt: now + windowMs };
|
|
}
|
|
entry.count++;
|
|
store.set(key, entry);
|
|
|
|
if (entry.count > max) {
|
|
const retryAfter = Math.ceil((entry.resetAt - now) / 1000);
|
|
res.set('Retry-After', retryAfter);
|
|
return res.status(429).json({ error: message });
|
|
}
|
|
next();
|
|
};
|
|
};
|