fix(security): 安全加固 — analytics 权限校验 + HSTS/CSP 安全头 + SSE no-cache + SQL 参数化

- analytics batch() 添加 require_permission + 事件数上限 100 - main.rs 添加 HSTS/Content-Security-Policy/Permissions-Policy 安全头 - sse_handler SSE 响应添加 Cache-Control: no-store 防 token 泄漏 - action_inbox_service SQL 查询改为参数化，防注入 - wechat_handler 日志脱敏，不打印 appid/secret 长度 - dynamic_table sanitize_identifier 添加 63 字节限制
2026-05-20 17:52:28 +08:00
parent fa1dc764a3
commit 65cf96f119
6 changed files with 130 additions and 28 deletions
--- a/crates/erp-plugin/src/dynamic_table.rs
+++ b/crates/erp-plugin/src/dynamic_table.rs
@@ -6,7 +6,7 @@ use base64::{Engine, engine::general_purpose::STANDARD as BASE64};
 use crate::error::{PluginError, PluginResult};
 use crate::manifest::{PluginEntity, PluginField, PluginFieldType};

-/// 消毒标识符：只保留 ASCII 字母、数字、下划线，防止 SQL 注入
+/// 消毒标识符：只保留 ASCII 字母、数字、下划线，限制 63 字节（PostgreSQL NAMEDATALEN-1）
 pub(crate) fn sanitize_identifier(input: &str) -> String {
    input
        .chars()
@@ -17,6 +17,7 @@ pub(crate) fn sanitize_identifier(input: &str) -> String {
                '_'
            }
        })
+        .take(63)
        .collect()
 }