fix(csp): frame-ancestors auf 'self' – PDF-Vorschau-iframe ging nicht

Das CSP `frame-ancestors 'none'` blockte ALLE iframe-Embeddings, auch same-origin – damit ließ sich die annotierte PDF-Vorschau im Editor für PDF-Auftragsvorlagen nicht laden. Browser zeigten je nach Variante "Verbindung abgelehnt" oder einen CSP-Violation-Fehler. CSP überschreibt X-Frame-Options, der alte SAMEORIGIN-Header reichte also nicht aus. Auf 'self' wechseln: eigene App darf eigene Resourcen embeden, externe Sites weiterhin gesperrt (was X-Frame-Options bereits regelt). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-07 20:10:42 +02:00
parent ab971618d5
commit 8dff0310a6
2 changed files with 13 additions and 1 deletions
@@ -169,7 +169,11 @@ app.use(
        'img-src': ["'self'", 'data:', 'blob:'],
        'font-src': ["'self'", 'data:'],
        'connect-src': ["'self'"],
-        'frame-ancestors': ["'none'"],
+        // 'self': eigene App darf eigene Resourcen in iframes embeden (z.B. die
+        // annotierte PDF-Vorschau in der Auftragsvorlagen-Konfiguration).
+        // 'none' würde sogar same-origin blocken und damit die UI brechen.
+        // Externe Sites bleiben weiterhin gesperrt.
+        'frame-ancestors': ["'self'"],
        'object-src': ["'none'"],
        'base-uri': ["'self'"],
        'form-action': ["'self'"],