duffyduck
096aa63c6f
security: Content-Security-Policy aktivieren (Pentest-Finding)
Bug: Stage-1-Kommentar behauptete fälschlicherweise, das Frontend setze
eine CSP via meta-Tag – passierte nie. Helmet-CSP war auf false, kein
CSP-Header im Response. Pentest-Tool hat das richtig moniert.
Fix: Helmet-CSP eingeschaltet mit SPA-tauglichen directives:
default-src 'self'
script-src 'self' (Vite baut Module-Scripts zu separaten Files)
style-src 'self' 'unsafe-inline' (Tailwind/inline-styles)
img-src self/data/blob (base64-Avatare, blob-PDFs)
font-src self/data
connect-src 'self' (API only)
frame-ancestors 'none' (Clickjacking-Schutz, ersetzt X-Frame-Options)
object-src 'none' (kein Flash/<object>)
base-uri 'self'
form-action 'self'
upgrade-insecure-requests
Live-verifiziert:
- Frontend index.html hat keine inline-scripts und keine externen
Resources (Vite-Production-Build) → CSP bricht nichts.
- Header gesetzt: Content-Security-Policy: default-src 'self'; script-src
'self'; style-src 'self' 'unsafe-inline'; ...
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-05 15:22:01 +02:00
..
2026-04-23 14:19:02 +02:00
2026-05-01 09:25:47 +02:00
2026-04-23 14:10:12 +02:00
2026-05-05 15:22:01 +02:00
2026-02-04 19:18:32 +01:00
2026-05-01 18:53:19 +02:00
2026-05-01 18:35:00 +02:00
2026-05-01 18:53:19 +02:00
2026-05-01 20:05:37 +02:00
2026-05-01 08:47:20 +02:00
2026-05-01 09:42:56 +02:00
2026-01-29 01:16:54 +01:00