schema-dsl 1.0.0 → 1.0.3

package/.github/SECURITY.md

@@ -1,184 +0,0 @@
-# 安全政策
-
-## 支持的版本
-
-我们目前支持以下版本的安全更新：
-
-| 版本 | 支持状态 |
-| ------- | ------------------ |
-| 2.3.x   | :white_check_mark: |
-| 2.2.x   | :white_check_mark: |
-| 2.1.x   | :white_check_mark: |
-| < 2.0   | :x:                |
-
-## 报告安全漏洞
-
-我们非常重视 SchemaIO 的安全性。如果你发现了安全漏洞，请**不要**公开披露，而是通过以下方式报告：
-
-### 报告渠道
-
-**优先方式**：发送邮件至 **rockyshi1993@gmail.com**
-
-邮件标题格式：`[SECURITY] SchemaIO - 简短描述`
-
-### 应包含的信息
-
-请在报告中包含以下信息：
-
-1. **漏洞描述**：清晰描述安全问题
-2. **影响范围**：受影响的版本
-3. **重现步骤**：详细的重现步骤
-4. **PoC 代码**：如果可能，提供概念验证代码
-5. **潜在影响**：漏洞可能造成的影响
-6. **建议修复**：如果有修复建议
-
-### 报告模板
-
-```markdown
-## 漏洞类型
-[例如：注入攻击、拒绝服务、信息泄露]
-
-## 影响版本
-[例如：v2.0.0 - v2.3.0]
-
-## 漏洞描述
-[详细描述]
-
-## 重现步骤
-1. ...
-2. ...
-
-## PoC 代码
-```javascript
-// 你的 PoC 代码
-```
-
-## 潜在影响
-[描述可能的影响]
-
-## 建议修复
-[如果有]
-```
-
-### 响应时间
-
-- **初步确认**：1-2 个工作日
-- **漏洞评估**：3-5 个工作日
-- **修复发布**：根据严重程度，7-30 天
-
-### 严重程度分级
-
-我们使用 CVSS 3.1 评分系统：
-
-- **严重**（9.0-10.0）：立即修复，< 7 天
-- **高危**（7.0-8.9）：优先修复，< 14 天
-- **中危**（4.0-6.9）：计划修复，< 30 天
-- **低危**（0.1-3.9）：常规修复，< 90 天
-
-## 安全最佳实践
-
-使用 SchemaIO 时，请遵循以下最佳实践：
-
-### 1. 输入验证
-
-```javascript
-// ✅ 推荐：使用 SchemaIO 验证所有外部输入
-const schema = dsl({
-  username: 'string:3-32!'.pattern(/^[a-zA-Z0-9_]+$/),
-  email: 'email!',
-  age: 'number:0-150'
-});
-
-const result = validate(schema, userInput);
-if (!result.valid) {
-  throw new Error('Invalid input');
-}
-```
-
-### 2. 避免动态执行
-
-```javascript
-// ❌ 危险：不要从不可信源动态执行代码
-const schemaStr = req.body.schema; // 来自用户输入
-eval(schemaStr); // 危险！
-
-// ✅ 安全：使用预定义的 Schema
-const allowedSchemas = {
-  user: userSchema,
-  post: postSchema
-};
-const schema = allowedSchemas[req.body.schemaType];
-```
-
-### 3. 限制资源使用
-
-```javascript
-// ✅ 推荐：限制数组大小，防止 DoS
-const schema = dsl({
-  tags: 'array:1-100<string:1-50>' // 限制数组和元素大小
-});
-```
-
-### 4. 保持更新
-
-定期更新到最新版本以获得安全补丁：
-
-```bash
-npm update schema-dsl
-```
-
-### 5. 依赖审计
-
-定期运行安全审计：
-
-```bash
-npm audit
-npm audit fix
-```
-
-## 已知的安全问题
-
-### 已修复的漏洞
-
-目前没有已知的安全漏洞。
-
-查看历史安全公告：[Security Advisories](https://github.com/vextjs/schema-dsl/security/advisories)
-
-## 安全相关配置
-
-### ReDoS 防护
-
-SchemaIO 内置了对正则表达式拒绝服务（ReDoS）的防护：
-
-```javascript
-// 内部会检测和缓存安全的正则表达式
-const schema = dsl({
-  username: 'string'.pattern(/^[a-zA-Z0-9_]+$/)
-});
-```
-
-### 自定义验证器安全
-
-使用自定义验证器时注意：
-
-```javascript
-// ⚠️ 注意：自定义验证器中的异步操作
-const schema = dsl({
-  email: 'email!'.custom(async (value) => {
-    // 确保设置超时，防止挂起
-    const exists = await checkEmailExists(value, { timeout: 5000 });
-    if (exists) return '邮箱已被占用';
-  })
-});
-```
-
-## 致谢
-
-我们感谢所有负责任地披露安全问题的研究人员。
-
-如果你报告了有效的安全漏洞，我们会在修复后的发布说明中致谢（除非你要求匿名）。
-
----
-
-**最后更新**：2025-12-29  
-**联系方式**：rockyshi1993@gmail.com

package/.github/workflows/ci.yml

@@ -1,33 +0,0 @@
-name: CI
-
-on:
-  push:
-    branches: [ main, master ]
-  pull_request:
-    branches: [ main, master ]
-
-jobs:
-  build:
-
-    runs-on: ubuntu-latest
-
-    strategy:
-      matrix:
-        node-version: [16.x, 18.x, 20.x]
-
-    steps:
-    - uses: actions/checkout@v3
-
-    - name: Use Node.js ${{ matrix.node-version }}
-      uses: actions/setup-node@v3
-      with:
-        node-version: ${{ matrix.node-version }}
-        cache: 'npm'
-
-    - name: Install dependencies
-      run: npm ci
-
-    - name: Run tests
-      run: npm test
-
-

package/plugins/custom-format.js

@@ -1,101 +0,0 @@
-/**
- * 示例插件：自定义格式验证
- * 
- * @description 添加常用的格式验证（手机号、邮编、身份证等）
- * @module plugins/custom-format
- */
-
-module.exports = {
-    name: 'custom-format',
-    version: '1.0.0',
-    description: '自定义格式验证插件',
-
-    install(schemaDsl, options = {}, context) {
-        // 获取默认 validator 实例
-        const validator = schemaDsl.getDefaultValidator();
-        const ajv = validator.getAjv();
-
-        // 添加自定义格式
-        this.addCustomFormats(ajv);
-
-        console.log('[Plugin] custom-format installed');
-    },
-
-    uninstall(schemaDsl, context) {
-        console.log('[Plugin] custom-format uninstalled');
-    },
-
-    addCustomFormats(ajv) {
-        // 1. 中国手机号
-        ajv.addFormat('phone-cn', {
-            validate: /^1[3-9]\d{9}$/
-        });
-
-        // 2. 中国邮政编码
-        ajv.addFormat('postal-code-cn', {
-            validate: /^\d{6}$/
-        });
-
-        // 3. IPv4 地址
-        ajv.addFormat('ipv4', {
-            validate: /^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$/
-        });
-
-        // 4. 微信号
-        ajv.addFormat('wechat', {
-            validate: /^[a-zA-Z][-_a-zA-Z0-9]{5,19}$/
-        });
-
-        // 5. QQ号
-        ajv.addFormat('qq', {
-            validate: /^[1-9][0-9]{4,10}$/
-        });
-
-        // 6. 银行卡号（简单验证）
-        ajv.addFormat('bank-card', {
-            validate: (value) => {
-                if (!/^\d{16,19}$/.test(value)) return false;
-
-                // Luhn 算法验证
-                let sum = 0;
-                let shouldDouble = false;
-
-                for (let i = value.length - 1; i >= 0; i--) {
-                    let digit = parseInt(value[i]);
-
-                    if (shouldDouble) {
-                        digit *= 2;
-                        if (digit > 9) digit -= 9;
-                    }
-
-                    sum += digit;
-                    shouldDouble = !shouldDouble;
-                }
-
-                return sum % 10 === 0;
-            }
-        });
-
-        // 7. 车牌号（普通+新能源）
-        ajv.addFormat('license-plate', {
-            validate: /^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领][A-Z][A-HJ-NP-Z0-9]{4,5}[A-HJ-NP-Z0-9挂学警港澳]$/
-        });
-
-        // 8. 统一社会信用代码
-        ajv.addFormat('credit-code', {
-            validate: /^[0-9A-HJ-NPQRTUWXY]{2}\d{6}[0-9A-HJ-NPQRTUWXY]{10}$/
-        });
-
-        // 9. 护照号（中国）
-        ajv.addFormat('passport-cn', {
-            validate: /^[EG]\d{8}$/
-        });
-
-        // 10. 港澳通行证
-        ajv.addFormat('hk-macao-pass', {
-            validate: /^[HM]\d{8,10}$/
-        });
-    }
-};
-
-

package/plugins/custom-validator.js

@@ -1,200 +0,0 @@
-/**
- * 示例插件：自定义验证器
- * 
- * @description 展示如何创建一个自定义验证器插件
- * @module plugins/custom-validator
- */
-
-module.exports = {
-    // 插件元信息
-    name: 'custom-validator',
-    version: '1.0.0',
-    description: '自定义验证器插件，添加业务特定的验证规则',
-
-    /**
-     * 插件安装函数
-     * 
-     * @param {Object} schemaDsl - SchemaIO 实例
-     * @param {Object} options - 插件选项
-     * @param {Object} context - 插件上下文
-     */
-    install(schemaDsl, options = {}, context) {
-        // 1. 获取默认 validator 实例
-        const validator = schemaDsl.getDefaultValidator();
-
-        // 2. 添加自定义关键字
-        this.addCustomKeywords(validator);
-
-        // 3. 注册到全局
-        if (!global.__schemaDsl_plugins) {
-            global.__schemaDsl_plugins = {};
-        }
-        global.__schemaDsl_plugins['custom-validator'] = this;
-
-        console.log('[Plugin] custom-validator installed');
-    },
-
-    /**
-     * 插件卸载函数
-     */
-    uninstall(schemaDsl, context) {
-        // 清理全局注册
-        if (global.__schemaDsl_plugins) {
-            delete global.__schemaDsl_plugins['custom-validator'];
-        }
-
-        console.log('[Plugin] custom-validator uninstalled');
-    },
-
-    /**
-     * 添加自定义关键字
-     */
-    addCustomKeywords(validator) {
-        const ajv = validator.getAjv();
-
-        // 示例1: 唯一性验证（需要异步检查数据库）
-        // 检查关键字是否已存在
-        if (!ajv.getKeyword('unique')) {
-            validator.addKeyword('unique', {
-                async: true,
-                type: 'string',
-                validate: async function validateUnique(schema, data, parentSchema, dataPath) {
-                    // schema: { unique: { table: 'users', field: 'email' } }
-                    // data: 实际要验证的值
-
-                    if (!schema) return true;
-
-                    const { table, field } = schema;
-
-                    // 模拟数据库查询
-                    // 实际使用时替换为真实的数据库查询
-                    const exists = false; // await db.query(...)
-
-                    if (exists) {
-                        validateUnique.errors = [{
-                            keyword: 'unique',
-                            message: `${field} already exists in ${table}`,
-                            params: { table, field }
-                        }];
-                        return false;
-                    }
-
-                    return true;
-                }
-            });
-        }
-
-        // 示例2: 密码强度验证
-        if (!ajv.getKeyword('passwordStrength')) {
-            validator.addKeyword('passwordStrength', {
-                type: 'string',
-                validate: function validatePasswordStrength(schema, data) {
-                    if (!schema) return true;
-
-                    // schema: { passwordStrength: 'medium' }
-                    // 强度等级: weak, medium, strong
-
-                    const strength = schema;
-                    const value = data;
-
-                    const rules = {
-                        weak: /^.{6,}$/,
-                        medium: /^(?=.*[a-z])(?=.*[A-Z]).{8,}$/,
-                        strong: /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d).{10,}$/
-                    };
-
-                    const pattern = rules[strength];
-                    if (!pattern) {
-                        return true;
-                    }
-
-                    if (!pattern.test(value)) {
-                        validatePasswordStrength.errors = [{
-                            keyword: 'passwordStrength',
-                            message: `Password does not meet ${strength} strength requirements`,
-                            params: { strength }
-                        }];
-                        return false;
-                    }
-
-                    return true;
-                }
-            });
-        }
-
-        // 示例3: 中国身份证号验证
-        if (!ajv.getKeyword('idCard')) {
-            validator.addKeyword('idCard', {
-                type: 'string',
-                validate: function validateIdCard(schema, data) {
-                    if (!schema) return true;
-
-                    const value = data;
-
-                    // 身份证号正则
-                    const pattern = /^[1-9]\d{5}(19|20)\d{2}(0[1-9]|1[0-2])(0[1-9]|[12]\d|3[01])\d{3}[\dXx]$/;
-
-                    if (!pattern.test(value)) {
-                        validateIdCard.errors = [{
-                            keyword: 'idCard',
-                            message: 'Invalid ID card number',
-                            params: {}
-                        }];
-                        return false;
-                    }
-
-                    // 验证校验码
-                    if (!this._validateIdCardChecksum(value)) {
-                        validateIdCard.errors = [{
-                            keyword: 'idCard',
-                            message: 'Invalid ID card checksum',
-                            params: {}
-                        }];
-                        return false;
-                    }
-
-                    return true;
-                }
-            });
-        }
-    },
-
-    /**
-     * 验证身份证校验码
-     * @private
-     */
-    _validateIdCardChecksum(idCard) {
-        const weights = [7, 9, 10, 5, 8, 4, 2, 1, 6, 3, 7, 9, 10, 5, 8, 4, 2];
-        const checksums = ['1', '0', 'X', '9', '8', '7', '6', '5', '4', '3', '2'];
-
-        let sum = 0;
-        for (let i = 0; i < 17; i++) {
-            sum += parseInt(idCard[i]) * weights[i];
-        }
-
-        const checksum = checksums[sum % 11];
-        return idCard[17].toUpperCase() === checksum;
-    },
-
-    /**
-     * 生命周期钩子
-     */
-    hooks: {
-        onBeforeValidate(schema, data) {
-            // 验证前钩子
-            // 可以在这里修改 schema 或 data
-        },
-
-        onAfterValidate(result) {
-            // 验证后钩子
-            // 可以在这里修改验证结果
-        },
-
-        onError(error, context) {
-            // 错误处理钩子
-            console.error('[custom-validator] Error:', error.message);
-        }
-    }
-};
-
-