sec: ajouter validation zod sur les routes API d'écriture #69

New issue

Open

opened 2026-04-11 18:35:01 +00:00 by maximus · 0 comments

maximus commented

2026-04-11 18:35:01 +00:00

Owner

Contexte

Constats de l'Escouade Défenseurs — run du 2026-04-11 (INFO).

Problème

11 routes API acceptent des données utilisateur (POST/PUT/PATCH) sans bibliothèque de validation d'input. Cela expose à des erreurs runtime et potentiellement à des injections.

Routes concernées

Route	Méthodes probables
`web/src/app/api/lists/route.ts`	POST (créer liste)
`web/src/app/api/lists/[id]/route.ts`	PUT/DELETE
`web/src/app/api/lists/[id]/tasks/route.ts`	POST (ajouter tâche)
`web/src/app/api/lists/reorder/route.ts`	POST/PUT (réordonner)
`web/src/app/api/tasks/route.ts`	POST (créer tâche)
`web/src/app/api/tasks/[id]/route.ts`	PUT/DELETE
`web/src/app/api/tasks/[id]/subtasks/route.ts`	POST (sous-tâches)
`web/src/app/api/tasks/reorder/route.ts`	POST/PUT (réordonner)
`web/src/app/api/tags/route.ts`	POST (créer tag)
`web/src/app/api/tags/[id]/route.ts`	PUT/DELETE
`web/src/app/api/sync/route.ts`	POST (sync body)

Recommandation

Ajouter zod pour valider les body des requêtes POST/PUT/PATCH. Exemple :

import { z } from 'zod';

const CreateListSchema = z.object({
  name: z.string().min(1).max(255),
});

export async function POST(req: Request) {
  const body = CreateListSchema.parse(await req.json());
  // ...
}

## Contexte Constats de l'Escouade Défenseurs — run du 2026-04-11 (INFO). ## Problème 11 routes API acceptent des données utilisateur (POST/PUT/PATCH) sans bibliothèque de validation d'input. Cela expose à des erreurs runtime et potentiellement à des injections. ## Routes concernées | Route | Méthodes probables | |-------|--------------------| | `web/src/app/api/lists/route.ts` | POST (créer liste) | | `web/src/app/api/lists/[id]/route.ts` | PUT/DELETE | | `web/src/app/api/lists/[id]/tasks/route.ts` | POST (ajouter tâche) | | `web/src/app/api/lists/reorder/route.ts` | POST/PUT (réordonner) | | `web/src/app/api/tasks/route.ts` | POST (créer tâche) | | `web/src/app/api/tasks/[id]/route.ts` | PUT/DELETE | | `web/src/app/api/tasks/[id]/subtasks/route.ts` | POST (sous-tâches) | | `web/src/app/api/tasks/reorder/route.ts` | POST/PUT (réordonner) | | `web/src/app/api/tags/route.ts` | POST (créer tag) | | `web/src/app/api/tags/[id]/route.ts` | PUT/DELETE | | `web/src/app/api/sync/route.ts` | POST (sync body) | ## Recommandation Ajouter `zod` pour valider les body des requêtes POST/PUT/PATCH. Exemple : ```ts import { z } from 'zod'; const CreateListSchema = z.object({ name: z.string().min(1).max(255), }); export async function POST(req: Request) { const body = CreateListSchema.parse(await req.json()); // ... } ```