收紧输入渲染与后台配置权限

app/Http/Requests/SendMessageRequest.php

@@ -13,6 +13,7 @@ namespace App\Http\Requests;
 use Illuminate\Contracts\Validation\Validator;
 use Illuminate\Foundation\Http\FormRequest;
 use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Validation\Rule;
 
 /**
  * 聊天室发言请求验证器
@@ -20,6 +21,27 @@ use Illuminate\Http\Exceptions\HttpResponseException;
  */
 class SendMessageRequest extends FormRequest
 {
+    /**
+     * 允许前端提交的发言动作白名单。
+     */
+    private const ALLOWED_ACTIONS = [
+        '',
+        '微笑',
+        '大笑',
+        '愤怒',
+        '哭泣',
+        '害羞',
+        '鄙视',
+        '得意',
+        '疑惑',
+        '同情',
+        '无奈',
+        '拳打',
+        '飞吻',
+        '偷看',
+        '欢迎',
+    ];
+
     /**
      * 判断当前请求是否允许继续。
      */
@@ -41,10 +63,22 @@ class SendMessageRequest extends FormRequest
             'to_user' => ['nullable', 'string', 'max:50'],
             'is_secret' => ['nullable', 'boolean'],
             'font_color' => ['nullable', 'string', 'max:10'],   // html color hex
-            'action' => ['nullable', 'string', 'max:50'],   // 动作（例如：微笑着说）
+            'action' => ['nullable', 'string', 'max:50', Rule::in(self::ALLOWED_ACTIONS)],   // 动作字段仅允许预设值，阻断拼接式 XSS 注入
         ];
     }
 
+    /**
+     * 在校验前统一整理输入，避免首尾空白绕过白名单判断。
+     */
+    protected function prepareForValidation(): void
+    {
+        $action = $this->input('action');
+
+        $this->merge([
+            'action' => is_string($action) ? trim($action) : $action,
+        ]);
+    }
+
     /**
      * 返回校验失败时的中文提示。
      */
@@ -57,6 +91,7 @@ class SendMessageRequest extends FormRequest
             'image.image' => '上传的文件必须是图片。',
             'image.mimes' => '仅支持 jpg、jpeg、png、gif、webp 图片格式。',
             'image.max' => '图片大小不能超过 6MB。',
+            'action.in' => '发言动作不合法，请重新选择。',
         ];
     }