보안 ★ 2026-06-05

v1.9.345

UR-0025(심층): _esc(HTML escape) 순수함수 분리

HTML escape 헬퍼(`_esc`)를 lib/pure-utils.js 로 분리 — roadmap.html 출력 인젝션 방지 보안 함수의 단위 테스트화. catalog vein 이후 순수함수 추출 전환 1번째.

핵심 변경

**selftest 93/93 PASS** · **E2E 290/290 PASS** (회귀 0).

실측: 5문자 이스케이프 정확 · XSS 페이로드(<script>→<script>) · null/undefined→"" · 숫자/평문 보존 · **roadmap.html end-to-end**: 악성 task 제목(<img src=x onerror=alert(1)>) 이스케이프 확인(raw 미주입, <img 형태).

GitHub 릴리스 v1.9.345 →