@blueking/bkui-knowledge 0.0.1-beta.1

package/knowledge/skills/js-security-check/references/security-toolkit.md

@@ -0,0 +1,354 @@
+# JavaScript 安全工具库
+
+可复用的安全函数模板，基于腾讯 JavaScript 代码安全规范。
+
+## 使用方式
+
+创建 `src/utils/security.js` 文件，将以下函数引入项目使用。
+
+## 完整工具库代码
+
+```javascript
+/**
+ * 安全工具库 - 基于腾讯 JavaScript 代码安全规范
+ */
+
+import DOMPurify from 'dompurify';
+
+// ============= URL 安全 =============
+
+const ALLOWED_PROTOCOLS = new Set(['https:', 'http:']);
+const ALLOWED_HOSTS = ['qq.com', 'tencent.com']; // 根据项目配置
+
+/**
+ * 验证 URL 是否安全
+ */
+export function safeUrl(urlStr, base = location.origin) {
+  try {
+    const u = new URL(String(urlStr), base);
+
+    // 检查协议
+    if (!ALLOWED_PROTOCOLS.has(u.protocol)) return null;
+
+    // 检查域名
+    const isAllowed = ALLOWED_HOSTS.some(h =>
+      u.hostname === h || u.hostname.endsWith('.' + h)
+    );
+    if (!isAllowed) return null;
+
+    return u.href;
+  } catch {
+    return null;
+  }
+}
+
+/**
+ * 安全导航
+ */
+export function safeNavigate(url) {
+  const safe = safeUrl(url);
+  if (safe) {
+    location.assign(safe);
+  } else {
+    console.error('Invalid or unsafe URL:', url);
+  }
+}
+
+/**
+ * 安全打开新窗口
+ */
+export function safeOpen(url, target = '_blank') {
+  const safe = safeUrl(url);
+  if (safe) {
+    window.open(safe, target, 'noopener,noreferrer');
+  } else {
+    console.error('Invalid or unsafe URL:', url);
+  }
+}
+
+// ============= DOM 安全 =============
+
+const SAFE_ATTRS = new Set(['title', 'aria-label', 'href', 'src', 'alt', 'id', 'class']);
+
+/**
+ * 安全设置属性
+ */
+export function safeSetAttr(element, name, value) {
+  if (!SAFE_ATTRS.has(name)) {
+    console.warn('Unsafe attribute name:', name);
+    return;
+  }
+
+  const isUrlAttr = /^(href|src|action|data|formaction)$/i.test(name);
+  if (isUrlAttr) {
+    const safe = safeUrl(value);
+    if (!safe) {
+      console.warn('Unsafe URL value:', value);
+      return;
+    }
+    value = safe;
+  }
+
+  element.setAttribute(name, value);
+}
+
+/**
+ * 安全 HTML 渲染（富文本）
+ */
+export function safeHtml(dirty, config = {}) {
+  return DOMPurify.sanitize(String(dirty), {
+    ALLOWED_TAGS: ['b', 'i', 'strong', 'em', 'a', 'ul', 'li', 'p', 'br'],
+    ALLOWED_ATTR: ['href', 'title', 'target'],
+    ALLOW_DATA_ATTR: false,
+    ADD_ATTR: ['rel'],
+    ...config
+  });
+}
+
+/**
+ * 创建安全的富文本渲染函数
+ */
+export function createSafeHtmlRenderer(config) {
+  return (dirty) => safeHtml(dirty, config);
+}
+
+// ============= 对象安全 =============
+
+const FORBIDDEN_KEYS = new Set(['__proto__', 'prototype', 'constructor']);
+
+/**
+ * 安全对象合并（防原型污染）
+ */
+export function safeMerge(target, source) {
+  for (const key of Object.keys(source)) {
+    if (FORBIDDEN_KEYS.has(key)) continue;
+
+    const value = source[key];
+    if (value && typeof value === 'object' && !Array.isArray(value)) {
+      if (!target[key] || typeof target[key] !== 'object') {
+        target[key] = {};
+      }
+      safeMerge(target[key], value);
+    } else {
+      target[key] = value;
+    }
+  }
+  return target;
+}
+
+/**
+ * 安全 JSON 解析
+ */
+export function safeJsonParse(json, defaultValue = null) {
+  try {
+    const obj = JSON.parse(json);
+    // 移除危险键
+    const clean = (o) => {
+      if (o && typeof o === 'object') {
+        for (const key of Object.keys(o)) {
+          if (FORBIDDEN_KEYS.has(key)) {
+            delete o[key];
+          } else {
+            clean(o[key]);
+          }
+        }
+      }
+      return o;
+    };
+    return clean(obj);
+  } catch {
+    return defaultValue;
+  }
+}
+
+// ============= PostMessage 安全 =============
+
+/**
+ * 创建安全的 PostMessage 处理器
+ */
+export function createSecureMessageHandler(allowedOrigins, handlers) {
+  return (event) => {
+    // 验证 origin
+    if (!allowedOrigins.includes(event.origin)) {
+      console.warn('Message from unauthorized origin:', event.origin);
+      return;
+    }
+
+    // 验证消息结构
+    if (!event.data || typeof event.data.type !== 'string') {
+      console.warn('Invalid message structure');
+      return;
+    }
+
+    // 处理消息
+    const handler = handlers[event.data.type];
+    if (handler) {
+      handler(event.data.payload, event);
+    }
+  };
+}
+
+/**
+ * 安全发送 PostMessage
+ */
+export function safePostMessage(targetWindow, message, targetOrigin) {
+  if (targetOrigin === '*') {
+    console.error('targetOrigin should not be "*"');
+    return;
+  }
+  targetWindow.postMessage(message, targetOrigin);
+}
+
+// ============= 随机数生成 =============
+
+/**
+ * 生成安全随机数（用于安全目的）
+ */
+export function secureRandom(length = 32) {
+  const buffer = new Uint8Array(length);
+  crypto.getRandomValues(buffer);
+  return Array.from(buffer, b => b.toString(16).padStart(2, '0')).join('');
+}
+
+/**
+ * 生成 UUID v4
+ */
+export function secureUUID() {
+  return crypto.randomUUID();
+}
+
+// ============= 敏感数据过滤 =============
+
+const SENSITIVE_PARAMS = ['token', 'auth', 'session', 'sig', 'code', 'state', 'password', 'secret'];
+
+/**
+ * 移除 URL 中的敏感参数
+ */
+export function stripSensitiveParams(urlStr) {
+  try {
+    const u = new URL(urlStr);
+    SENSITIVE_PARAMS.forEach(param => u.searchParams.delete(param));
+    return u.toString();
+  } catch {
+    return urlStr;
+  }
+}
+
+/**
+ * 日志脱敏
+ */
+export function sanitizeForLog(obj) {
+  const result = {};
+  for (const [key, value] of Object.entries(obj)) {
+    if (SENSITIVE_PARAMS.some(p => key.toLowerCase().includes(p))) {
+      result[key] = '***REDACTED***';
+    } else if (typeof value === 'object' && value !== null) {
+      result[key] = sanitizeForLog(value);
+    } else {
+      result[key] = value;
+    }
+  }
+  return result;
+}
+
+// ============= 存储安全 =============
+
+const SENSITIVE_STORAGE_KEYS = ['password', 'token', 'secret', 'apikey', 'authorization'];
+
+/**
+ * 安全存储（仅允许存储非敏感数据）
+ */
+export function safeSetStorage(key, value) {
+  const lowerKey = key.toLowerCase();
+  if (SENSITIVE_STORAGE_KEYS.some(s => lowerKey.includes(s))) {
+    console.error('Cannot store sensitive data in localStorage:', key);
+    return false;
+  }
+  try {
+    localStorage.setItem(key, JSON.stringify(value));
+    return true;
+  } catch {
+    return false;
+  }
+}
+
+/**
+ * 安全获取存储
+ */
+export function safeGetStorage(key, defaultValue = null) {
+  try {
+    const item = localStorage.getItem(key);
+    return item ? JSON.parse(item) : defaultValue;
+  } catch {
+    return defaultValue;
+  }
+}
+```
+
+## Vue 3 组合式 API 封装
+
+```javascript
+// src/composables/useSecurity.js
+import { computed } from 'vue';
+import { safeHtml, safeUrl, safeNavigate } from '@/utils/security';
+
+export function useSafeHtml(content, config = {}) {
+  return computed(() => safeHtml(content.value, config));
+}
+
+export function useSafeUrl(url) {
+  return computed(() => safeUrl(url.value));
+}
+
+export { safeNavigate, safeUrl, safeHtml };
+```
+
+## React Hooks 封装
+
+```javascript
+// src/hooks/useSecurity.js
+import { useMemo } from 'react';
+import { safeHtml, safeUrl } from '@/utils/security';
+
+export function useSafeHtml(content, config = {}) {
+  return useMemo(() => safeHtml(content, config), [content, config]);
+}
+
+export function useSafeUrl(url) {
+  return useMemo(() => safeUrl(url), [url]);
+}
+
+export { safeNavigate, safeUrl, safeHtml } from '@/utils/security';
+```
+
+## 依赖安装
+
+```bash
+# 安装 DOMPurify
+npm install dompurify
+# TypeScript 类型
+npm install -D @types/dompurify
+```
+
+## CSP 和 Trusted Types 配置
+
+```html
+<!-- index.html -->
+<meta http-equiv="Content-Security-Policy"
+      content="default-src 'self'; script-src 'self' https://cdn.tencent.com; style-src 'self' 'unsafe-inline'">
+
+<script>
+// 启用 Trusted Types
+if (window.trustedTypes && trustedTypes.createPolicy) {
+  trustedTypes.createPolicy('default', {
+    createHTML: (s) => DOMPurify.sanitize(s)
+  });
+}
+</script>
+```
+
+---
+
+> 相关资源：
+> - 完整规则清单：`skill://js-security-check/references/checklist.md`
+> - 修复示例：`skill://js-security-check/references/fix-examples.md`

package/knowledge/skills/nodejs-security-check/SKILL.md

@@ -0,0 +1,52 @@
+---
+id: sec-nodejs-check
+name: Node.js 安全审查
+category: security
+description: 检查 RCE、SSRF、SQL 注入、路径穿越等安全问题，支持 Express/Koa/NestJS
+tags: [security, nodejs, backend, ssrf, sql-injection]
+updated_at: 2026-01-20
+allowed-tools: [Read, Grep, Glob, Shell]
+---
+
+# Node.js 安全审查
+
+## ⚠️ 核心规则
+
+1. **永不信任用户输入** - 所有请求数据须 Schema 验证
+2. **安全默认** - 使用安全 API（execFile 而非 exec）
+3. **纵深防御** - 输入验证 + 参数化查询 + 输出编码
+
+## 快速开始
+
+```bash
+/nodejs-security-check                    # 智能扫描 src 目录
+/nodejs-security-check file src/xxx.js    # 扫描指定文件
+/nodejs-security-check report             # 生成详细报告
+```
+
+## 问题分级
+
+| 前缀 | 含义 | 处理方式 |
+|------|------|----------|
+| `🔴 严重` | 可被直接利用 | 阻止发布 |
+| `🟡 中等` | 需特定条件 | 尽快修复 |
+| `⚪ 建议` | 最佳实践 | 可选优化 |
+
+## 检查维度
+
+| 维度 | 检查项 |
+|------|--------|
+| 输入验证 | Schema 验证、HPP 防护、请求体限制 |
+| 命令执行 | exec/spawn 注入、shell: true |
+| 文件操作 | 路径穿越、上传安全、ZipSlip |
+| 网络请求 | SSRF、私网阻断、DNS 重绑定 |
+| 数据库 | SQL 注入、NoSQL 注入、Mass Assignment |
+| 认证授权 | JWT 算法、会话安全、权限校验 |
+
+## 📦 按需加载资源
+
+| 资源 | URI |
+|-----|-----|
+| 完整检查清单 | `skill://nodejs-security-check/references/checklist.md` |
+| 修复示例 | `skill://nodejs-security-check/references/fix-examples.md` |
+| 评分标准 | `skill://nodejs-security-check/references/scoring-standard.md` |

package/knowledge/skills/nodejs-security-check/references/checklist.md

@@ -0,0 +1,177 @@
+# Node.js 安全检查清单
+
+完整的安全检查规则索引和详细说明。
+
+## 必须级（MUST）- 严重安全漏洞
+
+### I. 代码实现类
+
+#### 输入验证
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **INPUT-001** | 输入验证 | 缺少 Schema 验证请求数据 | 🔴 严重 |
+| **INPUT-002** | HPP | 未防护 HTTP 参数污染 | 🟡 中等 |
+| **INPUT-003** | 请求体 | 未限制请求体大小与类型 | 🟡 中等 |
+
+#### 命令执行
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **CMD-001** | 命令注入 | exec/spawn 字符串拼接命令 | 🔴 严重 |
+| **CMD-002** | 命令注入 | shell:true 或 sh -c 执行 | 🔴 严重 |
+| **CMD-003** | 命令执行 | 未使用绝对路径和降权 | 🟡 中等 |
+
+#### 文件操作
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **FILE-001** | 路径穿越 | 未校验文件路径在根目录内 | 🔴 严重 |
+| **FILE-002** | 上传安全 | 未限制上传大小/类型/魔数 | 🔴 严重 |
+| **FILE-003** | 静态目录 | 上传目录暴露为静态服务 | 🔴 严重 |
+| **FILE-004** | ZipSlip | 解压未校验路径和大小 | 🔴 严重 |
+
+#### SSRF 防护
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **SSRF-001** | SSRF | 出站请求未校验 URL | 🔴 严重 |
+| **SSRF-002** | 私网阻断 | 未阻断私网/环回/元数据地址 | 🔴 严重 |
+| **SSRF-003** | DNS 重绑定 | 重定向未重新校验 IP | 🔴 严重 |
+
+#### 响应安全
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **RESP-001** | 错误处理 | 错误响应泄露堆栈信息 | 🟡 中等 |
+| **RESP-002** | 响应头 | 缺少安全响应头 | 🟡 中等 |
+| **CORS-001** | CORS | Origin 反射或 * + 凭证 | 🔴 严重 |
+| **CORS-002** | trust proxy | 错误配置 trust proxy | 🟡 中等 |
+
+#### 代码执行
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **EVAL-001** | 代码执行 | 使用 eval/Function/vm 执行不可信代码 | 🔴 严重 |
+| **PLUGIN-001** | 动态加载 | require/import 路径可控 | 🔴 严重 |
+
+#### 数据库安全
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **SQL-001** | SQL 注入 | SQL 字符串拼接 | 🔴 严重 |
+| **SQL-002** | SQL 注入 | ORDER BY/字段名未白名单 | 🟡 中等 |
+| **NOSQL-001** | NoSQL 注入 | 未过滤 $/. 操作符 | 🔴 严重 |
+| **NOSQL-002** | Mass Assignment | 更新字段未白名单 | 🔴 严重 |
+| **MASS-001** | Mass Assignment | ORM 全量更新用户数据 | 🔴 严重 |
+
+#### 模板渲染
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **SSR-001** | 模板注入 | 使用不转义输出 | 🔴 严重 |
+| **SSR-002** | 模板路径 | 模板名来自用户输入 | 🔴 严重 |
+
+#### 重定向与 Cookie
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **REDIR-001** | Open Redirect | 重定向未校验白名单 | 🔴 严重 |
+| **REDIR-002** | Header 注入 | Location 头含 CRLF | 🔴 严重 |
+| **COOKIE-001** | Cookie | 缺少 HttpOnly/Secure/SameSite | 🟡 中等 |
+| **SESSION-001** | 会话固定 | 登录后未重新生成会话 ID | 🔴 严重 |
+
+#### 其他安全
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **PROTO-001** | 原型污染 | 直接合并不可信对象 | 🔴 严重 |
+| **ROUTE-001** | 路由 | 中间件顺序错误 | 🟡 中等 |
+| **RATE-001** | 限速 | 敏感接口无限速 | 🟡 中等 |
+| **LOG-001** | 日志 | 日志包含敏感信息 | 🟡 中等 |
+| **XML-001** | XXE | XML 解析未禁用外部实体 | 🔴 严重 |
+| **YAML-001** | 代码执行 | YAML 解析允许函数标签 | 🔴 严重 |
+| **JSON-001** | 反序列化 | 使用危险的反序列化库 | 🔴 严重 |
+| **REGEX-001** | ReDoS | 正则灾难性回溯 | 🟡 中等 |
+| **HEADER-001** | Header 注入 | 响应头含 CRLF | 🔴 严重 |
+
+#### WebSocket 安全
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **WS-001** | WebSocket | 缺少握手鉴权 | 🔴 严重 |
+| **WS-002** | WebSocket | 缺少 Origin 校验 | 🔴 严重 |
+| **WORKER-001** | 资源限制 | Worker 无资源上限 | 🟡 中等 |
+
+#### 认证授权
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **AUTH-001** | 授权 | 前端控制替代后端鉴权 | 🔴 严重 |
+| **JWT-001** | JWT | 未限制算法/允许 none | 🔴 严重 |
+| **JWT-002** | JWT | 未校验 iss/aud/exp | 🔴 严重 |
+| **WEBHOOK-001** | Webhook | 未验签或时间窗 | 🔴 严重 |
+
+#### GraphQL 与请求处理
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **GQL-001** | GraphQL | 无深度/复杂度限制 | 🟡 中等 |
+| **SMUGGLE-001** | 请求走私 | CL:TE 冲突未拦截 | 🔴 严重 |
+| **COMPRESS-001** | 压缩炸弹 | 请求体解压无上限 | 🟡 中等 |
+
+### II. 配置与环境类
+
+| 规则 ID | 类别 | 描述 | 风险等级 |
+|---------|------|------|----------|
+| **DEP-001** | 依赖 | 使用公网 NPM 源 | 🔴 严重 |
+| **DEP-002** | 依赖 | 未使用 lockfile/npm ci | 🟡 中等 |
+| **DEP-003** | 依赖 | lifecycle scripts 执行外部代码 | 🔴 严重 |
+| **ENV-001** | 运行时 | 非 LTS Node 版本 | 🟡 中等 |
+| **ENV-002** | 运行时 | 生产启用 --inspect | 🔴 严重 |
+| **ENV-003** | 运行时 | root 用户运行服务 | 🔴 严重 |
+| **SECRET-001** | 密钥 | 密钥硬编码在代码中 | 🔴 严重 |
+| **SECRET-002** | 密钥 | 密钥写入日志 | 🔴 严重 |
+| **SECRET-003** | 密钥 | 员工敏感信息硬编码 | 🟡 中等 |
+| **DEPLOY-001** | 部署 | 动态 eval 热修 | 🔴 严重 |
+| **DEPLOY-002** | 部署 | 产物无签名校验 | 🟡 中等 |
+| **CONTAINER-001** | 容器 | 容器以 root 运行 | 🔴 严重 |
+| **CONTAINER-002** | 容器 | 无 seccomp/资源限制 | 🟡 中等 |
+| **TLS-001** | TLS | rejectUnauthorized: false | 🔴 严重 |
+| **TLS-002** | TLS | 使用过时 TLS 版本 | 🟡 中等 |
+| **CACHE-001** | 缓存 | 私有响应被 CDN 缓存 | 🟡 中等 |
+
+## 建议级（SHOULD）- 最佳实践
+
+| 规则 ID | 类别 | 描述 | 优先级 |
+|---------|------|------|--------|
+| **BEST-001** | 命令执行 | 封装可执行白名单 | ⚪ 建议 |
+| **BEST-002** | 文件 | 设置 umask 027 | ⚪ 建议 |
+| **BEST-003** | 请求 | 出站设置超时和体积限制 | ⚪ 建议 |
+| **BEST-004** | 错误 | 统一错误码和 requestId | ⚪ 建议 |
+| **BEST-005** | SQL | LIKE 转义 % _ | ⚪ 建议 |
+| **BEST-006** | NoSQL | 设置 TTL 索引 | ⚪ 建议 |
+| **BEST-007** | SSR | 渲染上下文 Schema 校验 | ⚪ 建议 |
+| **BEST-008** | Cookie | 刷新令牌轮换 | ⚪ 建议 |
+| **BEST-009** | 原型 | 使用 Object.create(null) | ⚪ 建议 |
+| **BEST-010** | 路由 | 参数正则限制 | ⚪ 建议 |
+| **BEST-011** | 限速 | 渐进惩罚 + 验证码 | ⚪ 建议 |
+| **BEST-012** | 日志 | 结构化 JSON + requestId | ⚪ 建议 |
+| **BEST-013** | 插件 | 能力最小化注入 | ⚪ 建议 |
+| **BEST-014** | 子进程 | 任务队列化 | ⚪ 建议 |
+| **BEST-015** | JSON | 循环引用安全序列化 | ⚪ 建议 |
+| **BEST-016** | CSP | SSR 页面配置 CSP | ⚪ 建议 |
+| **BEST-017** | WS | 令牌桶速率限制 | ⚪ 建议 |
+| **BEST-018** | 授权 | RBAC/ABAC 策略 | ⚪ 建议 |
+| **BEST-019** | GQL | 禁用生产环境 introspection | ⚪ 建议 |
+| **BEST-020** | JWT | PKCE + nonce + state | ⚪ 建议 |
+| **BEST-021** | Webhook | Idempotency-Key 去重 | ⚪ 建议 |
+| **BEST-022** | 依赖 | 使用 overrides 锁子依赖 | ⚪ 建议 |
+| **BEST-023** | 构建 | 生成 SBOM | ⚪ 建议 |
+| **BEST-024** | 缓存 | 签名 URL + 短期可见 | ⚪ 建议 |
+
+---
+
+> 更多详细内容请按需加载：
+> - 修复示例：`skill://nodejs-security-check/references/fix-examples.md`
+> - 评分标准：`skill://nodejs-security-check/references/scoring-standard.md`