[fix] XSS 취약점 방지 - breadcrumb href 속성 이스케이프 처리 추가

Copilot PR 피드백을 반영하여 보안 취약점을 개선했습니다.

- escapeHtmlAttribute() 함수 추가: href 속성값을 안전하게 이스케이프
- item.path를 escapedPath로 변환하여 XSS 공격 벡터 차단
- 특수문자(&, <, >, ", ')를 HTML 엔티티로 치환

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

Author: krsy0411

src/scripts/breadcrumb.ts

@@ -116,18 +116,32 @@ function escapeHtml(text: string): string {
   return div.innerHTML;
 }
 
+/**
+ * href 속성값을 안전하게 escape
+ * 따옴표, 꺾쇠괄호 등을 HTML 엔티티로 변환
+ */
+function escapeHtmlAttribute(value: string): string {
+  return value
+    .replace(/&/g, '&')
+    .replace(/"/g, '"')
+    .replace(/'/g, ''')
+    .replace(/</g, '&lt;')
+    .replace(/>/g, '&gt;');
+}
+
 /**
  * Breadcrumb 아이템을 HTML 문자열로 변환
  */
 function renderBreadcrumbItem(item: BreadcrumbItem, isLast: boolean): string {
   const escapedName = escapeHtml(item.name);
+  const escapedPath = escapeHtmlAttribute(item.path);
 
   if (isLast) {
     return `<span class="truncate text-gray-400 dark:text-gray-300">${escapedName}</span>`;
   }
 
   if (item.linkable) {
-    return `<a href="${item.path}" class="truncate text-blue-500 hover:text-blue-700 dark:text-blue-400 dark:hover:text-blue-300 transition-colors">${escapedName}</a> / `;
+    return `<a href="${escapedPath}" class="truncate text-blue-500 hover:text-blue-700 dark:text-blue-400 dark:hover:text-blue-300 transition-colors">${escapedName}</a> / `;
   }
 
   // linkable=false인 항목은 회색으로 표시 (클릭 불가 시각 표시)