fix(csp): frame-ancestors auf 'self' – PDF-Vorschau-iframe ging nicht
Das CSP `frame-ancestors 'none'` blockte ALLE iframe-Embeddings, auch same-origin – damit ließ sich die annotierte PDF-Vorschau im Editor für PDF-Auftragsvorlagen nicht laden. Browser zeigten je nach Variante "Verbindung abgelehnt" oder einen CSP-Violation-Fehler. CSP überschreibt X-Frame-Options, der alte SAMEORIGIN-Header reichte also nicht aus. Auf 'self' wechseln: eigene App darf eigene Resourcen embeden, externe Sites weiterhin gesperrt (was X-Frame-Options bereits regelt). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -97,6 +97,14 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
|
||||
|
||||
## ✅ Erledigt
|
||||
|
||||
- [x] **🐛 PDF-Vorschau im PDF-Template-Editor lädt nicht**
|
||||
- CSP-Direktive `frame-ancestors 'none'` blockte ALLE iframe-Embeddings
|
||||
der eigenen Resourcen, auch same-origin – Browser zeigte je nach
|
||||
Variante "Verbindung abgelehnt" oder CSP-Violation.
|
||||
- Fix: `frame-ancestors 'self'` (statt `'none'`). App darf eigene
|
||||
Resourcen embeden (z.B. die annotierte PDF-Vorschau), externe Sites
|
||||
bleiben weiterhin gesperrt.
|
||||
|
||||
- [x] **🔁 Factory-Defaults Sync-Scripts (dev ↔ prod ↔ Image)**
|
||||
- `./factory-export.sh` zieht eine ZIP per API in `factory-exports/`
|
||||
(gitignored Drop-Box).
|
||||
|
||||
Reference in New Issue
Block a user