npm - @sequent-org/moodboard - Versions diffs - 1.4.6 → 1.4.8 - Mend

@sequent-org/moodboard 1.4.6 → 1.4.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (10) hide show

package/package.json +1 -1
package/src/core/ApiClient.js +8 -0
package/src/core/SaveManager.js +7 -0
package/src/core/flows/ClipboardFlow.js +20 -6
package/src/core/flows/SaveFlow.js +0 -2
package/src/core/index.js +0 -5
package/src/moodboard/integration/MoodBoardLoadApi.js +4 -6
package/src/services/AssetUrlPolicy.js +26 -0
package/src/services/FileUploadService.js +34 -3
package/src/services/ImageUploadService.js +34 -3

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@sequent-org/moodboard",
-  "version": "1.4.6",
+  "version": "1.4.8",
   "type": "module",
   "description": "Interactive moodboard",
   "main": "./src/index.js",

package/src/core/ApiClient.js CHANGED Viewed

@@ -1,3 +1,5 @@
+import { isV2ImageDownloadUrl } from '../services/AssetUrlPolicy.js';
 // src/core/ApiClient.js
 export class ApiClient {
     constructor(baseUrl, authToken = null) {
@@ -159,6 +161,12 @@ export class ApiClient {
                 if (hasForbiddenInlineSrc) {
                     throw new Error(`Image object "${obj.id || 'unknown'}" contains forbidden data/blob src. Save is blocked.`);
                 }
+                if (topSrc && !isV2ImageDownloadUrl(topSrc)) {
+                    throw new Error(`Image object "${obj.id || 'unknown'}" has non-v2 src URL. Save is blocked.`);
+                }
+                if (propSrc && !isV2ImageDownloadUrl(propSrc)) {
+                    throw new Error(`Image object "${obj.id || 'unknown'}" has non-v2 properties.src URL. Save is blocked.`);
+                }
                 const cleanedObj = { ...obj };

package/src/core/SaveManager.js CHANGED Viewed

@@ -3,6 +3,7 @@
  */
 import { Events } from './events/Events.js';
 import { logMindmapCompoundDebug } from '../mindmap/MindmapCompoundContract.js';
+import { isV2ImageDownloadUrl } from '../services/AssetUrlPolicy.js';
 export class SaveManager {
     constructor(eventBus, options = {}) {
         this.eventBus = eventBus;
@@ -245,6 +246,12 @@ export class SaveManager {
             if (/^data:/i.test(topSrc) || /^blob:/i.test(topSrc) || /^data:/i.test(propSrc) || /^blob:/i.test(propSrc)) {
                 throw new Error(`Image object "${obj.id || 'unknown'}" contains forbidden data/blob src. Save is blocked.`);
             }
+            if (topSrc && !isV2ImageDownloadUrl(topSrc)) {
+                throw new Error(`Image object "${obj.id || 'unknown'}" has non-v2 src URL. Save is blocked.`);
+            }
+            if (propSrc && !isV2ImageDownloadUrl(propSrc)) {
+                throw new Error(`Image object "${obj.id || 'unknown'}" has non-v2 properties.src URL. Save is blocked.`);
+            }
         }
     }

package/src/core/flows/ClipboardFlow.js CHANGED Viewed

@@ -1,6 +1,7 @@
 import { Events } from '../events/Events.js';
 import { PasteObjectCommand } from '../commands/index.js';
 import { RevitScreenshotMetadataService } from '../../services/RevitScreenshotMetadataService.js';
+import { isV2ImageDownloadUrl } from '../../services/AssetUrlPolicy.js';
 export function setupClipboardFlow(core) {
     const revitMetadataService = new RevitScreenshotMetadataService(console);
@@ -21,7 +22,12 @@ export function setupClipboardFlow(core) {
     const ensureServerImage = async ({ src, name, imageId }) => {
         if (imageId) {
-            return { src, name, imageId };
+            const serverUrl = typeof src === 'string' ? src.trim() : '';
+            if (!isV2ImageDownloadUrl(serverUrl)) {
+                alert('Некорректный адрес изображения. Изображение не добавлено.');
+                return null;
+            }
+            return { src: serverUrl, name, imageId };
         }
         if (!core.imageUploadService) {
             alert('Сервис загрузки изображений недоступен. Изображение не добавлено.');
@@ -39,8 +45,12 @@ export function setupClipboardFlow(core) {
                 const blob = await response.blob();
                 uploadResult = await core.imageUploadService.uploadImage(blob, name || 'clipboard-image');
             }
+            const serverUrl = typeof uploadResult.url === 'string' ? uploadResult.url.trim() : '';
+            if (!isV2ImageDownloadUrl(serverUrl)) {
+                throw new Error('Сервер вернул некорректный URL изображения');
+            }
             return {
-                src: uploadResult.url,
+                src: serverUrl,
                 name: uploadResult.name || name,
                 imageId: uploadResult.imageId || uploadResult.id
             };
@@ -272,10 +282,12 @@ export function setupClipboardFlow(core) {
             const img = new Image();
             img.decoding = 'async';
             img.onload = () => { void placeWithAspect(img.naturalWidth || 0, img.naturalHeight || 0); };
-            img.onerror = () => { void placeWithAspect(0, 0); };
+            img.onerror = () => {
+                alert('Не удалось загрузить изображение с сервера. Изображение не добавлено.');
+            };
             img.src = uploaded.src;
         } catch (_) {
-            void placeWithAspect(0, 0);
+            alert('Не удалось загрузить изображение с сервера. Изображение не добавлено.');
         }
     });
@@ -320,10 +332,12 @@ export function setupClipboardFlow(core) {
             const img = new Image();
             img.decoding = 'async';
             img.onload = () => { void placeWithAspect(img.naturalWidth || 0, img.naturalHeight || 0); };
-            img.onerror = () => { void placeWithAspect(0, 0); };
+            img.onerror = () => {
+                alert('Не удалось загрузить изображение с сервера. Изображение не добавлено.');
+            };
             img.src = uploaded.src;
         } catch (_) {
-            void placeWithAspect(0, 0);
+            alert('Не удалось загрузить изображение с сервера. Изображение не добавлено.');
         }
     });

package/src/core/flows/SaveFlow.js CHANGED Viewed

@@ -25,8 +25,6 @@ export function setupSaveFlow(core) {
     core.eventBus.on(Events.Save.Success, async () => {
         if (typeof core.revealPendingObjectsAfterSave === 'function') {
             core.revealPendingObjectsAfterSave();
-        } else if (typeof core.revealPendingImageObjectsAfterSave === 'function') {
-            core.revealPendingImageObjectsAfterSave();
         }
         // ВРЕМЕННО ОТКЛЮЧЕНО:
         // cleanup-фича требует доработки контракта и серверной поддержки.

package/src/core/index.js CHANGED Viewed

@@ -465,11 +465,6 @@ export class CoreMoodBoard {
         this._pendingPersistAckVisibilityIds.clear();
     }
-    // Backward-compat alias for tests/integrations created in previous step.
-    revealPendingImageObjectsAfterSave() {
-        this.revealPendingObjectsAfterSave();
-    }
     // === Прикрепления к фреймам ===
     // Логика фреймов перенесена в FrameService

package/src/moodboard/integration/MoodBoardLoadApi.js CHANGED Viewed

@@ -21,12 +21,10 @@ function resolveMoodboardApiBase(board) {
     const raw = String(board?.options?.apiUrl || '').trim();
     if (!raw) return '/api/v2/moodboard';
-    // Совместимость с legacy конфигом: /api/moodboard -> /api/v2/moodboard
-    if (raw.endsWith('/api/moodboard')) {
-        return raw.replace(/\/api\/moodboard$/, '/api/v2/moodboard');
-    }
-    if (raw.endsWith('/api/moodboard/')) {
-        return raw.replace(/\/api\/moodboard\/$/, '/api/v2/moodboard/');
+    const hasLegacyPath = /\/api\/moodboard(?:\/|$)/i.test(raw);
+    const hasV2Path = /\/api\/v2\/moodboard(?:\/|$)/i.test(raw);
+    if (hasLegacyPath && !hasV2Path) {
+        throw new Error('Legacy apiUrl "/api/moodboard" is not supported. Use "/api/v2/moodboard".');
     }
     return raw;

package/src/services/AssetUrlPolicy.js ADDED Viewed

@@ -0,0 +1,26 @@
+export function isV2ImageDownloadUrl(url) {
+    if (typeof url !== 'string') return false;
+    const raw = url.trim();
+    if (!raw) return false;
+    if (/^\/api\/v2\/images\/[^/]+\/download$/i.test(raw)) return true;
+    try {
+        const parsed = new URL(raw);
+        return /^\/api\/v2\/images\/[^/]+\/download$/i.test(parsed.pathname);
+    } catch (_) {
+        return false;
+    }
+}
+export function isV2FileDownloadUrl(url) {
+    if (typeof url !== 'string') return false;
+    const raw = url.trim();
+    if (!raw) return false;
+    if (/^\/api\/v2\/files\/[^/]+\/download$/i.test(raw)) return true;
+    try {
+        const parsed = new URL(raw);
+        return /^\/api\/v2\/files\/[^/]+\/download$/i.test(parsed.pathname);
+    } catch (_) {
+        return false;
+    }
+}

package/src/services/FileUploadService.js CHANGED Viewed

@@ -1,3 +1,5 @@
+import { isV2FileDownloadUrl } from './AssetUrlPolicy.js';
 /**
  * Сервис для загрузки и управления файлами на сервере
  */
@@ -92,10 +94,22 @@ export class FileUploadService {
                 throw new Error(result.message || 'Ошибка загрузки файла');
             }
+            const fileId = result.data.fileId || result.data.id;
+            const serverUrl = typeof result.data.url === 'string' ? result.data.url.trim() : '';
+            if (!fileId) {
+                throw new Error('Сервер не вернул fileId.');
+            }
+            if (!isV2FileDownloadUrl(serverUrl)) {
+                throw new Error('Некорректный URL файла от сервера. Ожидается /api/v2/files/{fileId}/download');
+            }
+            if (!this._matchesFileIdInUrl(serverUrl, fileId)) {
+                throw new Error('fileId не совпадает с URL файла от сервера.');
+            }
             return {
-                id: result.data.fileId || result.data.id, // Используем fileId как основное поле, id для обратной совместимости
-                fileId: result.data.fileId || result.data.id, // Добавляем fileId для явного доступа
-                url: result.data.url,
+                id: fileId, // Используем fileId как основное поле, id для обратной совместимости
+                fileId, // Добавляем fileId для явного доступа
+                url: serverUrl,
                 size: result.data.size,
                 name: result.data.name,
                 type: result.data.type
@@ -107,6 +121,23 @@ export class FileUploadService {
         }
     }
+    _matchesFileIdInUrl(url, fileId) {
+        const id = typeof fileId === 'string' ? fileId.trim() : '';
+        if (!id || typeof url !== 'string') return false;
+        const raw = url.trim();
+        const relativeMatch = raw.match(/^\/api\/v2\/files\/([^/]+)\/download$/i);
+        if (relativeMatch) {
+            return decodeURIComponent(relativeMatch[1]) === id;
+        }
+        try {
+            const parsed = new URL(raw);
+            const absoluteMatch = parsed.pathname.match(/^\/api\/v2\/files\/([^/]+)\/download$/i);
+            return !!absoluteMatch && decodeURIComponent(absoluteMatch[1]) === id;
+        } catch (_) {
+            return false;
+        }
+    }
     /**
      * Обновляет метаданные файла на сервере
      * @param {string} fileId - ID файла

package/src/services/ImageUploadService.js CHANGED Viewed

@@ -1,3 +1,5 @@
+import { isV2ImageDownloadUrl } from './AssetUrlPolicy.js';
 /**
  * Сервис для загрузки и управления изображениями на сервере
  */
@@ -97,10 +99,22 @@ export class ImageUploadService {
                 throw new Error(result.message || 'Ошибка загрузки изображения');
             }
+            const imageId = result.data.imageId || result.data.id;
+            const serverUrl = typeof result.data.url === 'string' ? result.data.url.trim() : '';
+            if (!imageId) {
+                throw new Error('Сервер не вернул imageId.');
+            }
+            if (!isV2ImageDownloadUrl(serverUrl)) {
+                throw new Error('Некорректный URL изображения от сервера. Ожидается /api/v2/images/{imageId}/download');
+            }
+            if (!this._matchesImageIdInUrl(serverUrl, imageId)) {
+                throw new Error('imageId не совпадает с URL изображения от сервера.');
+            }
             return {
-                id: result.data.imageId || result.data.id, // Используем imageId как основное поле, id для обратной совместимости
-                imageId: result.data.imageId || result.data.id, // Добавляем imageId для явного доступа
-                url: result.data.url,
+                id: imageId, // Используем imageId как основное поле, id для обратной совместимости
+                imageId, // Добавляем imageId для явного доступа
+                url: serverUrl,
                 width: result.data.width,
                 height: result.data.height,
                 name: result.data.name,
@@ -113,6 +127,23 @@ export class ImageUploadService {
         }
     }
+    _matchesImageIdInUrl(url, imageId) {
+        const id = typeof imageId === 'string' ? imageId.trim() : '';
+        if (!id || typeof url !== 'string') return false;
+        const raw = url.trim();
+        const relativeMatch = raw.match(/^\/api\/v2\/images\/([^/]+)\/download$/i);
+        if (relativeMatch) {
+            return decodeURIComponent(relativeMatch[1]) === id;
+        }
+        try {
+            const parsed = new URL(raw);
+            const absoluteMatch = parsed.pathname.match(/^\/api\/v2\/images\/([^/]+)\/download$/i);
+            return !!absoluteMatch && decodeURIComponent(absoluteMatch[1]) === id;
+        } catch (_) {
+            return false;
+        }
+    }
     /**
      * Загружает изображение из base64 DataURL
      * @param {string} dataUrl - base64 DataURL