app/api/proxy/%5B...path%5D/route.ts

// app/api/proxy/[...path]/route.ts
// API Proxy для обращения к Marzban серверу подписок
// ТОЛЬКО разрешённые пути: /sub/{token}/*

import { logger } from '@/lib/logger';

// Белый список разрешённых path-паттернов (regex)
const ALLOWED_PATHS = [
  /^sub\/[a-zA-Z0-9_-]+\/?$/,          // /sub/{token}/
  /^sub\/[a-zA-Z0-9_-]+\/info$/,       // /sub/{token}/info
  /^sub\/[a-zA-Z0-9_-]+\/usage$/,      // /sub/{token}/usage
  /^sub\/[a-zA-Z0-9_-]+\/(sing-box|clash-meta|clash|outline|v2ray|v2ray-json)$/, // configs
];

function isPathAllowed(path: string): boolean {
  return ALLOWED_PATHS.some((pattern) => pattern.test(path));
}

export async function GET(
  request: Request,
  { params }: { params: { path: string[] } }
) {
  const path = params.path.join('/');
  const baseUrl = 'https://umbrix2.3to3.sbs';
  
  // Проверяем что путь в белом списке
  if (!isPathAllowed(path)) {
    logger.warn(`[Proxy] Blocked path: ${path}`);
    return Response.json(
      { error: 'Forbidden: path not allowed' },
      { status: 403 }
    );
  }

  const url = `${baseUrl}/${path}`;
  
  logger.debug('[Proxy] Fetching:', url);
  
  try {
    const response = await fetch(url, {
      headers: {
        'Accept': 'application/json',
        'User-Agent': 'Umbrix-TelegramBot/1.0',
      },
      cache: 'no-store',
    });
    
    if (!response.ok) {
      logger.error('[Proxy] HTTP error:', response.status);
      throw new Error(`HTTP error! status: ${response.status}`);
    }
    
    const contentType = response.headers.get('content-type');
    
    if (contentType?.includes('application/json')) {
      const data = await response.json();
      return Response.json(data);
    }
    
    const text = await response.text();
    return new Response(text, {
      headers: {
        'Content-Type': contentType || 'text/plain',
      },
    });
    
  } catch (error) {
    logger.error('[Proxy] Error:', error);
    return Response.json(
      { error: 'Failed to fetch data from subscription server' },
      { status: 500 }
    );
  }
}

// POST запрещён — нет причин для POST к серверу подписок
export async function POST() {
  return Response.json(
    { error: 'Method not allowed' },
    { status: 405 }
  );
}
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			`// app/api/proxy/[...path]/route.ts`
🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`// API Proxy для обращения к Marzban серверу подписок`
			`// ТОЛЬКО разрешённые пути: /sub/{token}/*`

			`import { logger } from '@/lib/logger';`

			`// Белый список разрешённых path-паттернов (regex)`
			`const ALLOWED_PATHS = [`
			`/^sub\/[a-zA-Z0-9_-]+\/?$/, // /sub/{token}/`
			`/^sub\/[a-zA-Z0-9_-]+\/info$/, // /sub/{token}/info`
			`/^sub\/[a-zA-Z0-9_-]+\/usage$/, // /sub/{token}/usage`
			`/^sub\/[a-zA-Z0-9_-]+\/(sing-box\|clash-meta\|clash\|outline\|v2ray\|v2ray-json)$/, // configs`
			`];`

			`function isPathAllowed(path: string): boolean {`
			`return ALLOWED_PATHS.some((pattern) => pattern.test(path));`
			`}`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00
			`export async function GET(`
			`request: Request,`
			`{ params }: { params: { path: string[] } }`
			`) {`
			`const path = params.path.join('/');`
			`const baseUrl = 'https://umbrix2.3to3.sbs';`
🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00
			`// Проверяем что путь в белом списке`
			`if (!isPathAllowed(path)) {`
			logger.warn(`[Proxy] Blocked path: ${path}`);
			`return Response.json(`
			`{ error: 'Forbidden: path not allowed' },`
			`{ status: 403 }`
			`);`
			`}`

🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			const url = `${baseUrl}/${path}`;

🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`logger.debug('[Proxy] Fetching:', url);`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00
			`try {`
			`const response = await fetch(url, {`
			`headers: {`
			`'Accept': 'application/json',`
			`'User-Agent': 'Umbrix-TelegramBot/1.0',`
			`},`
			`cache: 'no-store',`
			`});`

			`if (!response.ok) {`
🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`logger.error('[Proxy] HTTP error:', response.status);`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			throw new Error(`HTTP error! status: ${response.status}`);
			`}`

			`const contentType = response.headers.get('content-type');`

			`if (contentType?.includes('application/json')) {`
			`const data = await response.json();`
			`return Response.json(data);`
			`}`

			`const text = await response.text();`
			`return new Response(text, {`
			`headers: {`
			`'Content-Type': contentType \|\| 'text/plain',`
			`},`
			`});`

			`} catch (error) {`
🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`logger.error('[Proxy] Error:', error);`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			`return Response.json(`
🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`{ error: 'Failed to fetch data from subscription server' },`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			`{ status: 500 }`
			`);`
			`}`
			`}`

🔒 Аудит: безопасность, TypeScript, UI, BottomNav Безопасность: - proxy: белый список путей (только /sub/), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme- (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git) 2026-02-08 18:59:02 +03:00			`// POST запрещён — нет причин для POST к серверу подписок`
			`export async function POST() {`
			`return Response.json(`
			`{ error: 'Method not allowed' },`
			`{ status: 405 }`
			`);`
🌐 API: Прокси для Marzban API с автоматическим токеном 2026-02-04 05:04:15 +03:00			`}`