@mandujs/mcp 0.12.1 → 0.13.0

package/src/resources/skills/mandu-security/rules/sec-input-validate.md

@@ -1,148 +1,148 @@
----
-title: Always Validate and Sanitize Input
-impact: CRITICAL
-impactDescription: Prevents injection attacks
-tags: security, input, validation, sanitize
----
-
-## Always Validate and Sanitize Input
-
-**Impact: CRITICAL (Prevents injection attacks)**
-
-모든 사용자 입력을 서버에서 검증하고 살균하세요. 클라이언트 검증은 우회될 수 있습니다.
-
-**Vulnerable (검증 없음):**
-
-```typescript
-// ❌ 입력 검증 없이 직접 사용
-export default Mandu.filling()
-  .post(async (ctx) => {
-    const body = await ctx.body();
-
-    // SQL Injection 취약
-    const user = await db.$queryRaw`
-      SELECT * FROM users WHERE email = '${body.email}'
-    `;
-
-    return ctx.ok({ user });
-  });
-```
-
-**Secure (Zod로 검증):**
-
-```typescript
-import { z } from "zod";
-
-// ✅ 스키마 정의
-const createUserSchema = z.object({
-  email: z.string().email().max(255),
-  name: z.string().min(1).max(100),
-  age: z.number().int().min(0).max(150).optional(),
-});
-
-export default Mandu.filling()
-  .post(async (ctx) => {
-    const body = await ctx.body();
-
-    // 스키마로 검증
-    const result = createUserSchema.safeParse(body);
-
-    if (!result.success) {
-      return ctx.error({
-        message: "Validation failed",
-        errors: result.error.flatten(),
-      });
-    }
-
-    // 검증된 데이터 사용 (Parameterized query)
-    const user = await db.user.create({
-      data: result.data,
-    });
-
-    return ctx.created({ user });
-  });
-```
-
-## 입력 유형별 검증
-
-```typescript
-const schema = z.object({
-  // 문자열
-  username: z.string()
-    .min(3)
-    .max(20)
-    .regex(/^[a-zA-Z0-9_]+$/),  // 알파벳, 숫자, 언더스코어만
-
-  // 이메일
-  email: z.string().email(),
-
-  // URL
-  website: z.string().url().optional(),
-
-  // 숫자
-  age: z.number().int().positive().max(150),
-
-  // Enum
-  role: z.enum(["user", "admin", "moderator"]),
-
-  // 배열
-  tags: z.array(z.string().max(50)).max(10),
-
-  // 중첩 객체
-  address: z.object({
-    street: z.string().max(200),
-    city: z.string().max(100),
-  }).optional(),
-});
-```
-
-## 파일 업로드 검증
-
-```typescript
-export default Mandu.filling()
-  .post(async (ctx) => {
-    const formData = await ctx.req.formData();
-    const file = formData.get("file") as File;
-
-    // 파일 존재 확인
-    if (!file) {
-      return ctx.error("File is required");
-    }
-
-    // 파일 크기 제한 (5MB)
-    if (file.size > 5 * 1024 * 1024) {
-      return ctx.error("File too large (max 5MB)");
-    }
-
-    // 파일 타입 확인
-    const allowedTypes = ["image/jpeg", "image/png", "image/webp"];
-    if (!allowedTypes.includes(file.type)) {
-      return ctx.error("Invalid file type");
-    }
-
-    // 파일 확장자 확인 (MIME 스푸핑 방지)
-    const ext = file.name.split(".").pop()?.toLowerCase();
-    if (!["jpg", "jpeg", "png", "webp"].includes(ext || "")) {
-      return ctx.error("Invalid file extension");
-    }
-
-    // 안전하게 처리
-    const buffer = await file.arrayBuffer();
-    // ... 저장 로직
-  });
-```
-
-## XSS 방지를 위한 출력 이스케이프
-
-```typescript
-import { escapeHtml } from "@/lib/security";
-
-// HTML 컨텍스트에서 사용될 데이터
-const safeContent = escapeHtml(userInput);
-
-// 또는 라이브러리 사용
-import DOMPurify from "isomorphic-dompurify";
-const sanitized = DOMPurify.sanitize(userHtml);
-```
-
-Reference: [OWASP Input Validation](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)
+---
+title: Always Validate and Sanitize Input
+impact: CRITICAL
+impactDescription: Prevents injection attacks
+tags: security, input, validation, sanitize
+---
+
+## Always Validate and Sanitize Input
+
+**Impact: CRITICAL (Prevents injection attacks)**
+
+모든 사용자 입력을 서버에서 검증하고 살균하세요. 클라이언트 검증은 우회될 수 있습니다.
+
+**Vulnerable (검증 없음):**
+
+```typescript
+// ❌ 입력 검증 없이 직접 사용
+export default Mandu.filling()
+  .post(async (ctx) => {
+    const body = await ctx.body();
+
+    // SQL Injection 취약
+    const user = await db.$queryRaw`
+      SELECT * FROM users WHERE email = '${body.email}'
+    `;
+
+    return ctx.ok({ user });
+  });
+```
+
+**Secure (Zod로 검증):**
+
+```typescript
+import { z } from "zod";
+
+// ✅ 스키마 정의
+const createUserSchema = z.object({
+  email: z.string().email().max(255),
+  name: z.string().min(1).max(100),
+  age: z.number().int().min(0).max(150).optional(),
+});
+
+export default Mandu.filling()
+  .post(async (ctx) => {
+    const body = await ctx.body();
+
+    // 스키마로 검증
+    const result = createUserSchema.safeParse(body);
+
+    if (!result.success) {
+      return ctx.error({
+        message: "Validation failed",
+        errors: result.error.flatten(),
+      });
+    }
+
+    // 검증된 데이터 사용 (Parameterized query)
+    const user = await db.user.create({
+      data: result.data,
+    });
+
+    return ctx.created({ user });
+  });
+```
+
+## 입력 유형별 검증
+
+```typescript
+const schema = z.object({
+  // 문자열
+  username: z.string()
+    .min(3)
+    .max(20)
+    .regex(/^[a-zA-Z0-9_]+$/),  // 알파벳, 숫자, 언더스코어만
+
+  // 이메일
+  email: z.string().email(),
+
+  // URL
+  website: z.string().url().optional(),
+
+  // 숫자
+  age: z.number().int().positive().max(150),
+
+  // Enum
+  role: z.enum(["user", "admin", "moderator"]),
+
+  // 배열
+  tags: z.array(z.string().max(50)).max(10),
+
+  // 중첩 객체
+  address: z.object({
+    street: z.string().max(200),
+    city: z.string().max(100),
+  }).optional(),
+});
+```
+
+## 파일 업로드 검증
+
+```typescript
+export default Mandu.filling()
+  .post(async (ctx) => {
+    const formData = await ctx.req.formData();
+    const file = formData.get("file") as File;
+
+    // 파일 존재 확인
+    if (!file) {
+      return ctx.error("File is required");
+    }
+
+    // 파일 크기 제한 (5MB)
+    if (file.size > 5 * 1024 * 1024) {
+      return ctx.error("File too large (max 5MB)");
+    }
+
+    // 파일 타입 확인
+    const allowedTypes = ["image/jpeg", "image/png", "image/webp"];
+    if (!allowedTypes.includes(file.type)) {
+      return ctx.error("Invalid file type");
+    }
+
+    // 파일 확장자 확인 (MIME 스푸핑 방지)
+    const ext = file.name.split(".").pop()?.toLowerCase();
+    if (!["jpg", "jpeg", "png", "webp"].includes(ext || "")) {
+      return ctx.error("Invalid file extension");
+    }
+
+    // 안전하게 처리
+    const buffer = await file.arrayBuffer();
+    // ... 저장 로직
+  });
+```
+
+## XSS 방지를 위한 출력 이스케이프
+
+```typescript
+import { escapeHtml } from "@/lib/security";
+
+// HTML 컨텍스트에서 사용될 데이터
+const safeContent = escapeHtml(userInput);
+
+// 또는 라이브러리 사용
+import DOMPurify from "isomorphic-dompurify";
+const sanitized = DOMPurify.sanitize(userHtml);
+```
+
+Reference: [OWASP Input Validation](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)

package/src/resources/skills/mandu-security/rules/sec-protect-csrf.md

@@ -1,146 +1,146 @@
----
-title: Implement CSRF Protection
-impact: HIGH
-impactDescription: Prevents cross-site request forgery
-tags: security, csrf, protection, token
----
-
-## Implement CSRF Protection
-
-**Impact: HIGH (Prevents cross-site request forgery)**
-
-상태를 변경하는 요청(POST, PUT, DELETE)에 CSRF 토큰을 적용하세요.
-
-**Vulnerable (CSRF 보호 없음):**
-
-```typescript
-// ❌ CSRF 토큰 없이 상태 변경
-export default Mandu.filling()
-  .post(async (ctx) => {
-    // 악의적인 사이트에서 이 요청을 보낼 수 있음
-    await db.user.delete({
-      where: { id: ctx.get("user").id },
-    });
-    return ctx.ok({ message: "Account deleted" });
-  });
-```
-
-**Secure (CSRF 토큰 검증):**
-
-```typescript
-import { verifyCsrfToken } from "@/lib/csrf";
-
-export default Mandu.filling()
-  .guard((ctx) => {
-    const user = ctx.get("user");
-    if (!user) return ctx.unauthorized();
-
-    // CSRF 토큰 검증
-    const token = ctx.headers.get("x-csrf-token");
-    if (!verifyCsrfToken(token, user.sessionId)) {
-      return ctx.forbidden("Invalid CSRF token");
-    }
-  })
-  .post(async (ctx) => {
-    await db.user.delete({
-      where: { id: ctx.get("user").id },
-    });
-    return ctx.ok({ message: "Account deleted" });
-  });
-```
-
-## CSRF 토큰 생성
-
-```typescript
-// lib/csrf.ts
-import { createHmac, randomBytes } from "crypto";
-
-const SECRET = process.env.CSRF_SECRET!;
-
-export function generateCsrfToken(sessionId: string): string {
-  const timestamp = Date.now().toString();
-  const random = randomBytes(16).toString("hex");
-  const data = `${sessionId}:${timestamp}:${random}`;
-
-  const signature = createHmac("sha256", SECRET)
-    .update(data)
-    .digest("hex");
-
-  return `${data}:${signature}`;
-}
-
-export function verifyCsrfToken(token: string | null, sessionId: string): boolean {
-  if (!token) return false;
-
-  const parts = token.split(":");
-  if (parts.length !== 4) return false;
-
-  const [tokenSessionId, timestamp, random, signature] = parts;
-
-  // 세션 ID 확인
-  if (tokenSessionId !== sessionId) return false;
-
-  // 만료 확인 (1시간)
-  const tokenTime = parseInt(timestamp, 10);
-  if (Date.now() - tokenTime > 3600000) return false;
-
-  // 서명 확인
-  const data = `${tokenSessionId}:${timestamp}:${random}`;
-  const expectedSignature = createHmac("sha256", SECRET)
-    .update(data)
-    .digest("hex");
-
-  return signature === expectedSignature;
-}
-```
-
-## 클라이언트에서 CSRF 토큰 전송
-
-```tsx
-// Island에서 CSRF 토큰 사용
-"use client";
-
-export function DeleteAccountButton({ csrfToken }: { csrfToken: string }) {
-  const handleDelete = async () => {
-    const res = await fetch("/api/account", {
-      method: "DELETE",
-      headers: {
-        "Content-Type": "application/json",
-        "X-CSRF-Token": csrfToken,  // CSRF 토큰 포함
-      },
-    });
-
-    if (res.ok) {
-      window.location.href = "/goodbye";
-    }
-  };
-
-  return <button onClick={handleDelete}>Delete Account</button>;
-}
-```
-
-## SameSite 쿠키와 함께 사용
-
-```typescript
-// 세션 쿠키 설정
-ctx.cookie("session", sessionId, {
-  httpOnly: true,
-  secure: true,
-  sameSite: "lax",  // 또는 "strict"
-  maxAge: 86400,
-});
-```
-
-## 추가 방어 (Double Submit)
-
-```typescript
-// 쿠키와 헤더 모두에서 토큰 확인
-const cookieToken = ctx.cookies.get("csrf");
-const headerToken = ctx.headers.get("x-csrf-token");
-
-if (!cookieToken || cookieToken !== headerToken) {
-  return ctx.forbidden("CSRF validation failed");
-}
-```
-
-Reference: [OWASP CSRF Prevention](https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html)
+---
+title: Implement CSRF Protection
+impact: HIGH
+impactDescription: Prevents cross-site request forgery
+tags: security, csrf, protection, token
+---
+
+## Implement CSRF Protection
+
+**Impact: HIGH (Prevents cross-site request forgery)**
+
+상태를 변경하는 요청(POST, PUT, DELETE)에 CSRF 토큰을 적용하세요.
+
+**Vulnerable (CSRF 보호 없음):**
+
+```typescript
+// ❌ CSRF 토큰 없이 상태 변경
+export default Mandu.filling()
+  .post(async (ctx) => {
+    // 악의적인 사이트에서 이 요청을 보낼 수 있음
+    await db.user.delete({
+      where: { id: ctx.get("user").id },
+    });
+    return ctx.ok({ message: "Account deleted" });
+  });
+```
+
+**Secure (CSRF 토큰 검증):**
+
+```typescript
+import { verifyCsrfToken } from "@/lib/csrf";
+
+export default Mandu.filling()
+  .guard((ctx) => {
+    const user = ctx.get("user");
+    if (!user) return ctx.unauthorized();
+
+    // CSRF 토큰 검증
+    const token = ctx.headers.get("x-csrf-token");
+    if (!verifyCsrfToken(token, user.sessionId)) {
+      return ctx.forbidden("Invalid CSRF token");
+    }
+  })
+  .post(async (ctx) => {
+    await db.user.delete({
+      where: { id: ctx.get("user").id },
+    });
+    return ctx.ok({ message: "Account deleted" });
+  });
+```
+
+## CSRF 토큰 생성
+
+```typescript
+// lib/csrf.ts
+import { createHmac, randomBytes } from "crypto";
+
+const SECRET = process.env.CSRF_SECRET!;
+
+export function generateCsrfToken(sessionId: string): string {
+  const timestamp = Date.now().toString();
+  const random = randomBytes(16).toString("hex");
+  const data = `${sessionId}:${timestamp}:${random}`;
+
+  const signature = createHmac("sha256", SECRET)
+    .update(data)
+    .digest("hex");
+
+  return `${data}:${signature}`;
+}
+
+export function verifyCsrfToken(token: string | null, sessionId: string): boolean {
+  if (!token) return false;
+
+  const parts = token.split(":");
+  if (parts.length !== 4) return false;
+
+  const [tokenSessionId, timestamp, random, signature] = parts;
+
+  // 세션 ID 확인
+  if (tokenSessionId !== sessionId) return false;
+
+  // 만료 확인 (1시간)
+  const tokenTime = parseInt(timestamp, 10);
+  if (Date.now() - tokenTime > 3600000) return false;
+
+  // 서명 확인
+  const data = `${tokenSessionId}:${timestamp}:${random}`;
+  const expectedSignature = createHmac("sha256", SECRET)
+    .update(data)
+    .digest("hex");
+
+  return signature === expectedSignature;
+}
+```
+
+## 클라이언트에서 CSRF 토큰 전송
+
+```tsx
+// Island에서 CSRF 토큰 사용
+"use client";
+
+export function DeleteAccountButton({ csrfToken }: { csrfToken: string }) {
+  const handleDelete = async () => {
+    const res = await fetch("/api/account", {
+      method: "DELETE",
+      headers: {
+        "Content-Type": "application/json",
+        "X-CSRF-Token": csrfToken,  // CSRF 토큰 포함
+      },
+    });
+
+    if (res.ok) {
+      window.location.href = "/goodbye";
+    }
+  };
+
+  return <button onClick={handleDelete}>Delete Account</button>;
+}
+```
+
+## SameSite 쿠키와 함께 사용
+
+```typescript
+// 세션 쿠키 설정
+ctx.cookie("session", sessionId, {
+  httpOnly: true,
+  secure: true,
+  sameSite: "lax",  // 또는 "strict"
+  maxAge: 86400,
+});
+```
+
+## 추가 방어 (Double Submit)
+
+```typescript
+// 쿠키와 헤더 모두에서 토큰 확인
+const cookieToken = ctx.cookies.get("csrf");
+const headerToken = ctx.headers.get("x-csrf-token");
+
+if (!cookieToken || cookieToken !== headerToken) {
+  return ctx.forbidden("CSRF validation failed");
+}
+```
+
+Reference: [OWASP CSRF Prevention](https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html)