import { Response } from 'express'; import path from 'path'; import fs from 'fs'; import { AuthRequest } from '../types/index.js'; import { findUploadOwner } from '../services/fileDownload.service.js'; import { canAccessCustomer, canAccessContract } from '../utils/accessControl.js'; /** * Authentifizierter Download-Endpoint mit Per-File-Ownership-Check. * Ersetzt das ungeschützte `express.static('/api/uploads')`. * * Aufruf: GET /api/files/download?path=/uploads// * * Schritte: * 1. Pfad-Format prüfen (muss mit /uploads/ beginnen, kein Traversal) * 2. Owner via DB-Lookup ermitteln (welcher Customer/Contract gehört dazu?) * 3. canAccessCustomer / canAccessContract / Permission-Check * 4. Datei senden (mit korrektem Content-Type) * * Sicherheitsgewinn ggü. dem alten static-Handler: ein eingeloggter * Portal-Kunde kann jetzt nur seine eigenen Files (oder die seiner * vertretenen Kunden mit Vollmacht) herunterladen – nicht mehr beliebige * Pfade von fremden Kunden, selbst wenn er die Filenames irgendwo * mitgeschnitten hätte. */ export async function downloadFile(req: AuthRequest, res: Response): Promise { const requested = typeof req.query.path === 'string' ? req.query.path : ''; if (!requested) { res.status(400).json({ success: false, error: 'path-Parameter fehlt' }); return; } // Format-Validierung (Traversal-Schutz) if (!requested.startsWith('/uploads/') || requested.includes('..') || requested.includes('\0')) { res.status(400).json({ success: false, error: 'Ungültiger Pfad' }); return; } // Owner ermitteln const owner = await findUploadOwner(requested); if (!owner) { res.status(404).json({ success: false, error: 'Datei nicht gefunden' }); return; } // Access-Check je nach Owner-Typ if (owner.kind === 'customer') { if (!(await canAccessCustomer(req, res, owner.customerId))) return; } else if (owner.kind === 'contract') { if (!(await canAccessContract(req, res, owner.contractId))) return; } else if (owner.kind === 'admin') { // PDF-Vorlagen: nur Mitarbeiter mit settings:read const perms = req.user?.permissions || []; if (!perms.includes('settings:read') && !perms.includes('settings:update')) { res.status(403).json({ success: false, error: 'Keine Berechtigung' }); return; } } else if (owner.kind === 'gdpr-admin') { const perms = req.user?.permissions || []; if (!perms.includes('gdpr:admin')) { res.status(403).json({ success: false, error: 'Keine Berechtigung' }); return; } } // Datei vom Disk lesen // requested startet mit /uploads/, wir mappen das auf process.cwd()/uploads/... const relative = requested.substring('/uploads/'.length); const absolute = path.join(process.cwd(), 'uploads', relative); // Letzter Pfad-Sicherheitscheck: absolute Path muss noch unter uploads/ liegen. const uploadsRoot = path.join(process.cwd(), 'uploads') + path.sep; if (!absolute.startsWith(uploadsRoot)) { res.status(400).json({ success: false, error: 'Ungültiger Pfad' }); return; } if (!fs.existsSync(absolute)) { res.status(404).json({ success: false, error: 'Datei nicht gefunden' }); return; } // Stored-XSS-Schutz (Pentest 2026-05-20 MEDIUM 30.13): // Multer prüfte beim Upload nur den client-gemeldeten MIME-Type. // Eine `.html`-Datei mit `Content-Type: application/pdf` rutschte // durch und wurde mit Original-Extension auf Disk geschrieben. // Beim Download bestimmt res.sendFile() den Content-Type aus der // Extension – also `text/html` – und der Browser hätte das als // Stored-XSS gerendert. `X-Content-Type-Options: nosniff` schützt // nicht, wenn der Server selbst text/html liefert. // // Fix: alle Files via Content-Disposition: attachment ausliefern. // Der Browser lädt herunter statt zu rendern, egal welcher Type. // Für legitime PDF/Bild-Vorschau ist das vertretbar – Browser // öffnen den Download dann eben aus dem Datei-Manager. const filename = path.basename(absolute).replace(/[^A-Za-z0-9._-]/g, '_'); res.setHeader('X-Content-Type-Options', 'nosniff'); res.setHeader('Content-Disposition', `attachment; filename="${filename}"`); res.sendFile(absolute); }