negodiy/aiform_dev
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: 5 улучшений безопасности и UX

Browse Source 
1.  Прогресс бар загрузки:
   - Upload компонент с showUploadList
   - Кнопка показывает состояние 'Загрузка...'
   - Визуальный прогресс для каждого файла

2.  OCR проверка полиса (заготовка):
   - TODO: проверка что загружен полис, а не шляпа
   - Если шляпа - помечаем себе в policyValidationWarning
   - Пользователю не говорим (silent validation)

3.  Лимиты файлов:
   - Максимум 10 файлов
   - Каждый файл до 15MB
   - Валидация на фронте и бэкенде
   - Счетчик: 'Загружено: X/10 файлов'
   - Кнопка disabled при 10 файлах

4.  Защита от инъекций и безопасность:
   Backend (upload.py):
   - Лимит файлов: if len(files) > 10
   - Проверка размера: if len(content) > MAX_FILE_SIZE
   - Валидация типа: allowed_types = ['image/', 'application/pdf']
   - Санитизация folder: allowed_folders whitelist

   Backend (draft.py):
   - Валидация session_id (max 255 chars)
   - Валидация step: only [1, 2, 3]
   - Параметризованные SQL запросы (защита от SQL injection)

   Frontend:
   - beforeUpload валидация размера
   - maxCount={10}
   - accept только разрешенные форматы

5.  Кнопка 'Начать заново':
   - Показывается на шаге 2 и 3 (extra в Card)
   - Сбрасывает всю форму
   - Возвращает на шаг 1
   - Очищает isPhoneVerified

Безопасность:
- SQL инъекции: параметризованные запросы ($1, $2)
- XSS: Pydantic валидация всех inputs
- File upload: type + size validation
- Path traversal: folder whitelist
- Rate limiting: TODO (Redis)

UX:
- Прогресс загрузки виден
- Понятные лимиты (10 файлов по 15MB)
- Возможность начать заново в любой момент
This commit is contained in:
AI Assistant
2025-10-24 21:34:50 +03:00
parent e34f7a598b
commit 621c8ebf01
4 changed files with 140 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

8
backend/app/api/draft.py
View File

@@ -32,6 +32,14 @@ async def save_draft(request: DraftSaveRequest):
- Сколько времени проводят на каждом шаге
- Какие поля вызывают проблемы
"""
# Защита: валидация session_id
if not request.session_id or len(request.session_id) > 255:
raise HTTPException(status_code=400, detail="Invalid session_id")
# Защита: валидация step
if request.step not in [1, 2, 3]:
raise HTTPException(status_code=400, detail="Invalid step number")
try:
# Сериализуем данные в JSON
form_data_json = json.dumps(request.data, ensure_ascii=False)