duffyduck 95b7261227 Anzeige-Fix: HTML in providerName/tariffName etc. beim Read strippen ...

In der Vertragsübersicht tauchen rohe <script>/<img>-Payloads als
Plaintext auf – React escaped sie zwar (kein XSS), sie sehen aber
hässlich aus. Ursprung: Daten aus pre-Pentest-Zeit, bevor
sanitizeContractBody beim Write existierte.

Fix: sanitizeContract und sanitizeCustomer strippen jetzt zusätzlich
HTML in den definierten Display-Feldern (providerName, tariffName,
customerNumberAtProvider, firstName, lastName, companyName, etc.).
Wirkt auch auf nested previousContract + energyDetails.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-30 14:55:59 +02:00

..

factory-defaults

factory-defaults: HTML-Templates + Import über UI

2026-05-07 19:26:33 +02:00

prisma

Folgezähler-Deklaration in der Kundenakte (Auto-Propagation)

2026-05-30 13:48:23 +02:00

scripts

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

src

Anzeige-Fix: HTML in providerName/tariffName etc. beim Read strippen

2026-05-30 14:55:59 +02:00

uploads

save email as pdf like an attachment

2026-02-04 19:18:32 +01:00

.env.example

Security-Hardening Runde 17: JWT-TTL + Pentest-Marker-Detection

2026-05-18 20:06:03 +02:00

.gitignore

chore: backend/.env aus Git entfernt + .gitignore klargestellt

2026-05-01 18:35:00 +02:00

docker-entrypoint.sh

Rollen+Permissions-Sync beim Container-Start

2026-05-19 12:41:39 +02:00

Dockerfile

fix: src/ ins Runtime-Image, damit prisma/*.ts-Wartungsskripte laufen

2026-05-18 15:53:52 +02:00

package-lock.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

package.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

tsconfig.json

first commit

2026-01-29 01:16:54 +01:00