feat: Añadidos de seguridad (Backend, Frontend e IA)

Implementación de medidas de seguridad críticas tras auditoría:

Backend (API & IA):
- Anti-Prompt Injection: Reestructuración de prompts con delimitadores XML y sanitización estricta de inputs (Tag Injection).
- Anti-SSRF: Implementación de servicio `UrlSecurity` para validar URLs y bloquear accesos a IPs internas/privadas en funciones de scraping.
- Moderación: Activación de `SafetySettings` en Gemini API.
- Infraestructura:
  - Configuración de Headers de seguridad (HSTS, CSP, NoSniff).
  - CORS restrictivo (solo métodos HTTP necesarios).
  - Rate Limiting global y política estricta para Login (5 req/min).
  - Timeouts en HttpClient para prevenir DoS.
- Auth: Endpoint `setup-admin` restringido exclusivamente a entorno Debug.

Frontend (React):
- Anti-XSS & Tabnabbing: Configuración de esquema estricto en `rehype-sanitize` y forzado de `rel="noopener noreferrer"` en enlaces.
- Validación de longitud de input en cliente.

IA:
- Se realiza afinación de contexto de preguntas.

This commit is contained in:

dmolinari

2025-11-27 15:11:54 -03:00

parent 6f96ca9c79

commit 67e179441d

8 changed files with 539 additions and 443 deletions

									
										1

ChatbotApi/Models/ChatRequest.cs
									
												View File
												
				@@ -7,4 +7,5 @@ public class ChatRequest

				    public required string Message { get; set; }

				    public string? ContextUrl { get; set; }

				    public string? ConversationSummary { get; set; }

				    public List<string>? ShownArticles { get; set; }

				}

feat: Añadidos de seguridad (Backend, Frontend e IA)

1 ChatbotApi/Models/ChatRequest.cs Unescape Escape View File

1

ChatbotApi/Models/ChatRequest.cs

View File