Исправления в ветке main

serve/middleware.go

@@ -1,7 +1,6 @@
 package serve
 
 import (
-	"fmt"
 	"net/http"
 	"strings"
 
@@ -46,29 +45,36 @@ func AuthMiddleware(next http.HandlerFunc) http.HandlerFunc {
 // CSRFMiddleware проверяет CSRF токены для POST/PUT/DELETE запросов
 func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 	return func(w http.ResponseWriter, r *http.Request) {
-		fmt.Printf("\n[CSRF MIDDLEWARE] ==========================================\n")
-		fmt.Printf("[CSRF MIDDLEWARE] Обработка запроса: %s %s\n", r.Method, r.URL.Path)
-		fmt.Printf("[CSRF MIDDLEWARE] RemoteAddr: %s\n", r.RemoteAddr)
-		fmt.Printf("[CSRF MIDDLEWARE] Host: %s\n", r.Host)
+		// Проверяем, нужно ли пропустить CSRF проверку
+		if config.AppConfig.Server.ForceNoCSRF {
+			csrfDebugPrint("[CSRF MIDDLEWARE] ⚠️  CSRF проверка отключена через LCG_FORCE_NO_CSRF\n")
+			next(w, r)
+			return
+		}
+
+		csrfDebugPrint("\n[CSRF MIDDLEWARE] ==========================================\n")
+		csrfDebugPrint("[CSRF MIDDLEWARE] Обработка запроса: %s %s\n", r.Method, r.URL.Path)
+		csrfDebugPrint("[CSRF MIDDLEWARE] RemoteAddr: %s\n", r.RemoteAddr)
+		csrfDebugPrint("[CSRF MIDDLEWARE] Host: %s\n", r.Host)
 
 		// Выводим все заголовки
-		fmt.Printf("[CSRF MIDDLEWARE] Заголовки:\n")
+		csrfDebugPrint("[CSRF MIDDLEWARE] Заголовки:\n")
 		for name, values := range r.Header {
 			if name == "Cookie" {
 				// Cookie выводим отдельно, разбирая их
-				fmt.Printf("[CSRF MIDDLEWARE]   %s: %s\n", name, strings.Join(values, "; "))
+				csrfDebugPrint("[CSRF MIDDLEWARE]   %s: %s\n", name, strings.Join(values, "; "))
 			} else {
-				fmt.Printf("[CSRF MIDDLEWARE]   %s: %s\n", name, strings.Join(values, ", "))
+				csrfDebugPrint("[CSRF MIDDLEWARE]   %s: %s\n", name, strings.Join(values, ", "))
 			}
 		}
 
 		// Выводим все cookies
-		fmt.Printf("[CSRF MIDDLEWARE] Все cookies:\n")
+		csrfDebugPrint("[CSRF MIDDLEWARE] Все cookies:\n")
 		if len(r.Cookies()) == 0 {
-			fmt.Printf("[CSRF MIDDLEWARE]   (нет cookies)\n")
+			csrfDebugPrint("[CSRF MIDDLEWARE]   (нет cookies)\n")
 		} else {
 			for _, cookie := range r.Cookies() {
-				fmt.Printf("[CSRF MIDDLEWARE]   %s = %s (Path: %s, Domain: %s, Secure: %t, HttpOnly: %t, SameSite: %v, MaxAge: %d)\n",
+				csrfDebugPrint("[CSRF MIDDLEWARE]   %s = %s (Path: %s, Domain: %s, Secure: %t, HttpOnly: %t, SameSite: %v, MaxAge: %d)\n",
 					cookie.Name,
 					safeSubstring(cookie.Value, 0, 50),
 					cookie.Path,
@@ -82,14 +88,14 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 
 		// Проверяем только изменяющие запросы
 		if r.Method == "GET" || r.Method == "HEAD" || r.Method == "OPTIONS" {
-			fmt.Printf("[CSRF MIDDLEWARE] Пропускаем проверку CSRF для метода %s\n", r.Method)
+			csrfDebugPrint("[CSRF MIDDLEWARE] Пропускаем проверку CSRF для метода %s\n", r.Method)
 			next(w, r)
 			return
 		}
 
 		// Исключаем некоторые API endpoints (с учетом BasePath)
 		if r.URL.Path == makePath("/api/login") || r.URL.Path == makePath("/api/logout") {
-			fmt.Printf("[CSRF MIDDLEWARE] Пропускаем проверку CSRF для пути %s\n", r.URL.Path)
+			csrfDebugPrint("[CSRF MIDDLEWARE] Пропускаем проверку CSRF для пути %s\n", r.URL.Path)
 			next(w, r)
 			return
 		}
@@ -98,9 +104,9 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 		csrfTokenFromHeader := r.Header.Get("X-CSRF-Token")
 		csrfTokenFromForm := r.FormValue("csrf_token")
 
-		fmt.Printf("[CSRF MIDDLEWARE] CSRF токен из заголовка X-CSRF-Token: %s\n",
+		csrfDebugPrint("[CSRF MIDDLEWARE] CSRF токен из заголовка X-CSRF-Token: %s\n",
 			safeSubstring(csrfTokenFromHeader, 0, 50))
-		fmt.Printf("[CSRF MIDDLEWARE] CSRF токен из формы csrf_token: %s\n",
+		csrfDebugPrint("[CSRF MIDDLEWARE] CSRF токен из формы csrf_token: %s\n",
 			safeSubstring(csrfTokenFromForm, 0, 50))
 
 		csrfToken := csrfTokenFromHeader
@@ -109,7 +115,7 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 		}
 
 		if csrfToken == "" {
-			fmt.Printf("[CSRF MIDDLEWARE] ❌ ОШИБКА: CSRF токен не найден ни в заголовке, ни в форме!\n")
+			csrfDebugPrint("[CSRF MIDDLEWARE] ❌ ОШИБКА: CSRF токен не найден ни в заголовке, ни в форме!\n")
 			// Для API запросов возвращаем JSON ошибку
 			if isAPIRequest(r) {
 				w.Header().Set("Content-Type", "application/json")
@@ -123,31 +129,31 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 			return
 		}
 
-		fmt.Printf("[CSRF MIDDLEWARE] Используемый CSRF токен (первые 50 символов): %s...\n",
+		csrfDebugPrint("[CSRF MIDDLEWARE] Используемый CSRF токен (первые 50 символов): %s...\n",
 			safeSubstring(csrfToken, 0, 50))
 
 		// Получаем сессионный ID
 		sessionID := getSessionID(r)
-		fmt.Printf("[CSRF MIDDLEWARE] SessionID: %s\n", sessionID)
+		csrfDebugPrint("[CSRF MIDDLEWARE] SessionID: %s\n", sessionID)
 
 		// Получаем CSRF токен из cookie для сравнения
 		csrfTokenFromCookie := GetCSRFTokenFromCookie(r)
 		if csrfTokenFromCookie != "" {
-			fmt.Printf("[CSRF MIDDLEWARE] CSRF токен из cookie (первые 50 символов): %s...\n",
+			csrfDebugPrint("[CSRF MIDDLEWARE] CSRF токен из cookie (первые 50 символов): %s...\n",
 				safeSubstring(csrfTokenFromCookie, 0, 50))
 			if csrfTokenFromCookie != csrfToken {
-				fmt.Printf("[CSRF MIDDLEWARE] ⚠️  ВНИМАНИЕ: Токен из cookie отличается от токена в запросе!\n")
+				csrfDebugPrint("[CSRF MIDDLEWARE] ⚠️  ВНИМАНИЕ: Токен из cookie отличается от токена в запросе!\n")
 			} else {
-				fmt.Printf("[CSRF MIDDLEWARE] ✅ Токен из cookie совпадает с токеном в запросе\n")
+				csrfDebugPrint("[CSRF MIDDLEWARE] ✅ Токен из cookie совпадает с токеном в запросе\n")
 			}
 		} else {
-			fmt.Printf("[CSRF MIDDLEWARE] ⚠️  ВНИМАНИЕ: CSRF токен не найден в cookie!\n")
+			csrfDebugPrint("[CSRF MIDDLEWARE] ⚠️  ВНИМАНИЕ: CSRF токен не найден в cookie!\n")
 		}
 
 		// Проверяем CSRF токен
 		csrfManager := GetCSRFManager()
 		if csrfManager == nil {
-			fmt.Printf("[CSRF MIDDLEWARE] ❌ ОШИБКА: CSRF менеджер не инициализирован!\n")
+			csrfDebugPrint("[CSRF MIDDLEWARE] ❌ ОШИБКА: CSRF менеджер не инициализирован!\n")
 			if isAPIRequest(r) {
 				w.Header().Set("Content-Type", "application/json")
 				w.WriteHeader(http.StatusForbidden)
@@ -158,12 +164,12 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 			return
 		}
 
-		fmt.Printf("[CSRF MIDDLEWARE] Вызов ValidateToken с токеном и sessionID: %s\n", sessionID)
+		csrfDebugPrint("[CSRF MIDDLEWARE] Вызов ValidateToken с токеном и sessionID: %s\n", sessionID)
 		valid := csrfManager.ValidateToken(csrfToken, sessionID)
-		fmt.Printf("[CSRF MIDDLEWARE] Результат ValidateToken: %t\n", valid)
+		csrfDebugPrint("[CSRF MIDDLEWARE] Результат ValidateToken: %t\n", valid)
 
 		if !valid {
-			fmt.Printf("[CSRF MIDDLEWARE] ❌ ОШИБКА: Валидация CSRF токена не прошла!\n")
+			csrfDebugPrint("[CSRF MIDDLEWARE] ❌ ОШИБКА: Валидация CSRF токена не прошла!\n")
 			// Для API запросов возвращаем JSON ошибку
 			if isAPIRequest(r) {
 				w.Header().Set("Content-Type", "application/json")
@@ -177,8 +183,8 @@ func CSRFMiddleware(next http.HandlerFunc) http.HandlerFunc {
 			return
 		}
 
-		fmt.Printf("[CSRF MIDDLEWARE] ✅ CSRF токен валиден, продолжаем обработку запроса\n")
-		fmt.Printf("[CSRF MIDDLEWARE] ==========================================\n\n")
+		csrfDebugPrint("[CSRF MIDDLEWARE] ✅ CSRF токен валиден, продолжаем обработку запроса\n")
+		csrfDebugPrint("[CSRF MIDDLEWARE] ==========================================\n\n")
 		// CSRF токен валиден, продолжаем
 		next(w, r)
 	}