🔒 Аудит: безопасность, TypeScript, UI, BottomNav

Безопасность: - proxy: белый список путей (только /sub/*), POST заблокирован - console.log заменён на logger (утечки URL/данных) - OnboardingFlow: убраны --tg-theme-* (не существуют в проекте) TypeScript (0 ошибок): - tsconfig target es5→es2017 (regex /u flag fix) - layout.tsx: viewport перенесён в metadata (Next.js 13.5) - telegram-webhook: fix text possibly undefined - hooks/useTelegramWebApp: fix Object possibly undefined - types/telegram: убрана дублирующая Window декларация UI: - BottomNav: новый компонент (Назад/Главная/Помощь) - safe-area-bottom CSS класс добавлен в globals.css - dashboard: spacer h-20, toast поднят над BottomNav - OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽) Очистка: - page_NEW.tsx удалён локально (не был в git)
2026-02-08 18:59:02 +03:00
parent 3dffb35eaa
commit 33b20b979f
21 changed files with 1446 additions and 266 deletions
--- a/app/api/proxy/[...path]/route.ts
+++ b/app/api/proxy/[...path]/route.ts
@@ -1,5 +1,20 @@
 // app/api/proxy/[...path]/route.ts
-// API Proxy для обращения к Marzban серверу
+// API Proxy для обращения к Marzban серверу подписок
+// ТОЛЬКО разрешённые пути: /sub/{token}/*
+
+import { logger } from '@/lib/logger';
+
+// Белый список разрешённых path-паттернов (regex)
+const ALLOWED_PATHS = [
+  /^sub\/[a-zA-Z0-9_-]+\/?$/,          // /sub/{token}/
+  /^sub\/[a-zA-Z0-9_-]+\/info$/,       // /sub/{token}/info
+  /^sub\/[a-zA-Z0-9_-]+\/usage$/,      // /sub/{token}/usage
+  /^sub\/[a-zA-Z0-9_-]+\/(sing-box|clash-meta|clash|outline|v2ray|v2ray-json)$/, // configs
+];
+
+function isPathAllowed(path: string): boolean {
+  return ALLOWED_PATHS.some((pattern) => pattern.test(path));
+}

 export async function GET(
  request: Request,
@@ -7,9 +22,19 @@ export async function GET(
 ) {
  const path = params.path.join('/');
  const baseUrl = 'https://umbrix2.3to3.sbs';
+  
+  // Проверяем что путь в белом списке
+  if (!isPathAllowed(path)) {
+    logger.warn(`[Proxy] Blocked path: ${path}`);
+    return Response.json(
+      { error: 'Forbidden: path not allowed' },
+      { status: 403 }
+    );
+  }
+
  const url = `${baseUrl}/${path}`;
  
-  console.log('[Proxy] Fetching:', url);
+  logger.debug('[Proxy] Fetching:', url);
  
  try {
    const response = await fetch(url, {
@@ -17,27 +42,22 @@ export async function GET(
        'Accept': 'application/json',
        'User-Agent': 'Umbrix-TelegramBot/1.0',
      },
-      // Отключаем кэш для актуальных данных
      cache: 'no-store',
    });
    
    if (!response.ok) {
-      console.error('[Proxy] HTTP error:', response.status, response.statusText);
+      logger.error('[Proxy] HTTP error:', response.status);
      throw new Error(`HTTP error! status: ${response.status}`);
    }
    
    const contentType = response.headers.get('content-type');
    
-    // Если это JSON - парсим
    if (contentType?.includes('application/json')) {
      const data = await response.json();
-      console.log('[Proxy] Success (JSON):', Object.keys(data));
      return Response.json(data);
    }
    
-    // Если это текст/HTML - возвращаем как есть
    const text = await response.text();
-    console.log('[Proxy] Success (Text):', text.substring(0, 100));
    return new Response(text, {
      headers: {
        'Content-Type': contentType || 'text/plain',
@@ -45,46 +65,18 @@ export async function GET(
    });
    
  } catch (error) {
-    console.error('[Proxy] Error:', error);
+    logger.error('[Proxy] Error:', error);
    return Response.json(
-      { 
-        error: 'Failed to fetch data from Marzban server',
-        details: error instanceof Error ? error.message : 'Unknown error',
-        url: url,
-      },
+      { error: 'Failed to fetch data from subscription server' },
      { status: 500 }
    );
  }
 }

-// Также поддерживаем POST для будущих API calls
-export async function POST(
-  request: Request,
-  { params }: { params: { path: string[] } }
-) {
-  const path = params.path.join('/');
-  const baseUrl = 'https://umbrix2.3to3.sbs';
-  const url = `${baseUrl}/${path}`;
-  
-  try {
-    const body = await request.json();
-    
-    const response = await fetch(url, {
-      method: 'POST',
-      headers: {
-        'Content-Type': 'application/json',
-        'Accept': 'application/json',
-      },
-      body: JSON.stringify(body),
-    });
-    
-    const data = await response.json();
-    return Response.json(data);
-    
-  } catch (error) {
-    return Response.json(
-      { error: 'Failed to post data' },
-      { status: 500 }
-    );
-  }
+// POST запрещён — нет причин для POST к серверу подписок
+export async function POST() {
+  return Response.json(
+    { error: 'Method not allowed' },
+    { status: 405 }
+  );
 }