npm - @sequent-org/moodboard - Versions diffs - 1.4.7 → 1.4.8 - Mend

@sequent-org/moodboard 1.4.7 → 1.4.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/package.json +1 -1
package/src/services/AssetUrlPolicy.js +20 -2
package/src/services/FileUploadService.js +20 -0
package/src/services/ImageUploadService.js +20 -0

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@sequent-org/moodboard",
-  "version": "1.4.7",
+  "version": "1.4.8",
   "type": "module",
   "description": "Interactive moodboard",
   "main": "./src/index.js",

package/src/services/AssetUrlPolicy.js CHANGED Viewed

@@ -1,8 +1,26 @@
 export function isV2ImageDownloadUrl(url) {
-    return typeof url === 'string' && /^\/api\/v2\/images\/[^/]+\/download$/i.test(url.trim());
+    if (typeof url !== 'string') return false;
+    const raw = url.trim();
+    if (!raw) return false;
+    if (/^\/api\/v2\/images\/[^/]+\/download$/i.test(raw)) return true;
+    try {
+        const parsed = new URL(raw);
+        return /^\/api\/v2\/images\/[^/]+\/download$/i.test(parsed.pathname);
+    } catch (_) {
+        return false;
+    }
 }
 export function isV2FileDownloadUrl(url) {
-    return typeof url === 'string' && /^\/api\/v2\/files\/[^/]+\/download$/i.test(url.trim());
+    if (typeof url !== 'string') return false;
+    const raw = url.trim();
+    if (!raw) return false;
+    if (/^\/api\/v2\/files\/[^/]+\/download$/i.test(raw)) return true;
+    try {
+        const parsed = new URL(raw);
+        return /^\/api\/v2\/files\/[^/]+\/download$/i.test(parsed.pathname);
+    } catch (_) {
+        return false;
+    }
 }

package/src/services/FileUploadService.js CHANGED Viewed

@@ -102,6 +102,9 @@ export class FileUploadService {
             if (!isV2FileDownloadUrl(serverUrl)) {
                 throw new Error('Некорректный URL файла от сервера. Ожидается /api/v2/files/{fileId}/download');
             }
+            if (!this._matchesFileIdInUrl(serverUrl, fileId)) {
+                throw new Error('fileId не совпадает с URL файла от сервера.');
+            }
             return {
                 id: fileId, // Используем fileId как основное поле, id для обратной совместимости
@@ -118,6 +121,23 @@ export class FileUploadService {
         }
     }
+    _matchesFileIdInUrl(url, fileId) {
+        const id = typeof fileId === 'string' ? fileId.trim() : '';
+        if (!id || typeof url !== 'string') return false;
+        const raw = url.trim();
+        const relativeMatch = raw.match(/^\/api\/v2\/files\/([^/]+)\/download$/i);
+        if (relativeMatch) {
+            return decodeURIComponent(relativeMatch[1]) === id;
+        }
+        try {
+            const parsed = new URL(raw);
+            const absoluteMatch = parsed.pathname.match(/^\/api\/v2\/files\/([^/]+)\/download$/i);
+            return !!absoluteMatch && decodeURIComponent(absoluteMatch[1]) === id;
+        } catch (_) {
+            return false;
+        }
+    }
     /**
      * Обновляет метаданные файла на сервере
      * @param {string} fileId - ID файла

package/src/services/ImageUploadService.js CHANGED Viewed

@@ -107,6 +107,9 @@ export class ImageUploadService {
             if (!isV2ImageDownloadUrl(serverUrl)) {
                 throw new Error('Некорректный URL изображения от сервера. Ожидается /api/v2/images/{imageId}/download');
             }
+            if (!this._matchesImageIdInUrl(serverUrl, imageId)) {
+                throw new Error('imageId не совпадает с URL изображения от сервера.');
+            }
             return {
                 id: imageId, // Используем imageId как основное поле, id для обратной совместимости
@@ -124,6 +127,23 @@ export class ImageUploadService {
         }
     }
+    _matchesImageIdInUrl(url, imageId) {
+        const id = typeof imageId === 'string' ? imageId.trim() : '';
+        if (!id || typeof url !== 'string') return false;
+        const raw = url.trim();
+        const relativeMatch = raw.match(/^\/api\/v2\/images\/([^/]+)\/download$/i);
+        if (relativeMatch) {
+            return decodeURIComponent(relativeMatch[1]) === id;
+        }
+        try {
+            const parsed = new URL(raw);
+            const absoluteMatch = parsed.pathname.match(/^\/api\/v2\/images\/([^/]+)\/download$/i);
+            return !!absoluteMatch && decodeURIComponent(absoluteMatch[1]) === id;
+        } catch (_) {
+            return false;
+        }
+    }
     /**
      * Загружает изображение из base64 DataURL
      * @param {string} dataUrl - base64 DataURL