duffyduck 8dff0310a6 fix(csp): frame-ancestors auf 'self' – PDF-Vorschau-iframe ging nicht ...

Das CSP `frame-ancestors 'none'` blockte ALLE iframe-Embeddings, auch
same-origin – damit ließ sich die annotierte PDF-Vorschau im Editor für
PDF-Auftragsvorlagen nicht laden. Browser zeigten je nach Variante
"Verbindung abgelehnt" oder einen CSP-Violation-Fehler.

CSP überschreibt X-Frame-Options, der alte SAMEORIGIN-Header reichte also
nicht aus. Auf 'self' wechseln: eigene App darf eigene Resourcen embeden,
externe Sites weiterhin gesperrt (was X-Frame-Options bereits regelt).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-07 20:10:42 +02:00

..

factory-defaults

factory-defaults: HTML-Templates + Import über UI

2026-05-07 19:26:33 +02:00

prisma

db: Prisma-Migrations-System statt db push (datenerhaltend)

2026-05-07 17:02:35 +02:00

scripts

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

src

fix(csp): frame-ancestors auf 'self' – PDF-Vorschau-iframe ging nicht

2026-05-07 20:10:42 +02:00

uploads

save email as pdf like an attachment

2026-02-04 19:18:32 +01:00

.env.example

docker: zentrale .env + Compose mit MariaDB+OpenCRM+Adminer + Bind-Mounts

2026-05-01 18:53:19 +02:00

.gitignore

chore: backend/.env aus Git entfernt + .gitignore klargestellt

2026-05-01 18:35:00 +02:00

docker-entrypoint.sh

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

Dockerfile

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

package-lock.json

db: tsx in production-deps + npx-Prefix für seed-Command

2026-05-07 17:23:06 +02:00

package.json

db: tsx in production-deps + npx-Prefix für seed-Command

2026-05-07 17:23:06 +02:00

tsconfig.json

first commit

2026-01-29 01:16:54 +01:00