mirror of
https://github.com/kmc7468/arkvault.git
synced 2025-12-12 21:08:46 +00:00
6bf40e4ab4
보안에 큰 도움이 되지 않는다고 판단하여 삭제하였습니다. 판단 근거는 다음과 같습니다. 1. Web Crypto API는 HTTPS 환경에서만 사용할 수 있음 2. 프론트엔드와 백엔드가 하나의 서버에서 제공되므로, 리버스 프록시에 의한 중간자 공격을 받지 않는가에 대한 직관적인 검증이 불가능함 3. 신뢰할 수 없는 리버스 프록시는 애초에 사용하지 않는 것이 맞음 다만 MEK에 대한 서명 등은 그대로 유지됩니다.
35 lines
1.1 KiB
TypeScript
35 lines
1.1 KiB
TypeScript
import { error, text } from "@sveltejs/kit";
|
|
import { authorize } from "$lib/server/modules/auth";
|
|
import { fileUploadRequest } from "$lib/server/schemas";
|
|
import { uploadFile } from "$lib/server/services/file";
|
|
import type { RequestHandler } from "./$types";
|
|
|
|
export const POST: RequestHandler = async ({ request, cookies }) => {
|
|
const { userId } = await authorize(cookies, "activeClient");
|
|
|
|
const form = await request.formData();
|
|
const metadata = form.get("metadata");
|
|
const content = form.get("content");
|
|
if (typeof metadata !== "string" || !(content instanceof File)) {
|
|
error(400, "Invalid request body");
|
|
}
|
|
|
|
const zodRes = fileUploadRequest.safeParse(JSON.parse(metadata));
|
|
if (!zodRes.success) error(400, "Invalid request body");
|
|
const { parentId, mekVersion, dek, contentIv, name, nameIv } = zodRes.data;
|
|
|
|
await uploadFile(
|
|
{
|
|
userId,
|
|
parentId,
|
|
mekVersion,
|
|
encDek: dek,
|
|
encContentIv: contentIv,
|
|
encName: name,
|
|
encNameIv: nameIv,
|
|
},
|
|
content.stream(),
|
|
);
|
|
return text("File uploaded", { headers: { "Content-Type": "text/plain" } });
|
|
};
|