Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
d206b360a658c424daa74a7796ac5df0e2015739
opencrm/backend
T
History
duffyduck d206b360a6 security: Permissions-Policy-Header setzen (Pentest-Finding) 
Helmet setzt Permissions-Policy nicht out-of-the-box. Eigene Middleware,
die alle nicht benötigten Browser-APIs deaktiviert:

  camera, microphone, geolocation, payment, usb, midi, hid,
  accelerometer, gyroscope, magnetometer, ambient-light-sensor,
  battery, idle-detection, encrypted-media, picture-in-picture,
  publickey-credentials-get, screen-wake-lock, xr-spatial-tracking,
  web-share, autoplay, display-capture, sync-xhr, clipboard-read,
  cross-origin-isolated  →  alle =()

Erlaubt für 'self':
  clipboard-write  (CopyButton-Komponenten)
  fullscreen       (falls Vorschau in Vollbild geöffnet wird)

Damit hat eingeschleustes JS keinen Zugriff auf sensible Browser-APIs,
selbst wenn XSS irgendwie durchrutschen sollte.

Live-verifiziert: Header gesetzt + sauber formatiert.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-05 15:25:27 +02:00
..
factory-defaults
docs: Factory-Defaults Import/Export-Anleitung in READMEs
2026-04-23 14:19:02 +02:00
prisma
Security-Hardening Runde 10: Security-Monitoring + Alerting
2026-05-01 09:25:47 +02:00
scripts
Factory-Defaults: Export + Import von Stammdaten-Katalogen
2026-04-23 14:10:12 +02:00
src
security: Permissions-Policy-Header setzen (Pentest-Finding)
2026-05-05 15:25:27 +02:00
uploads
save email as pdf like an attachment
2026-02-04 19:18:32 +01:00
.env.example
docker: zentrale .env + Compose mit MariaDB+OpenCRM+Adminer + Bind-Mounts
2026-05-01 18:53:19 +02:00
.gitignore
chore: backend/.env aus Git entfernt + .gitignore klargestellt
2026-05-01 18:35:00 +02:00
docker-entrypoint.sh
docker: zentrale .env + Compose mit MariaDB+OpenCRM+Adminer + Bind-Mounts
2026-05-01 18:53:19 +02:00
Dockerfile
docker: Runtime auf node:20-slim (Alpine→Debian) – Prisma+TLS-Kompatibilität
2026-05-01 20:05:37 +02:00
package-lock.json
Security-Hardening Runde 9: Diminishing returns
2026-05-01 08:47:20 +02:00
package.json
v1.1.0: Production-readiness Release
2026-05-01 09:42:56 +02:00
tsconfig.json
first commit
2026-01-29 01:16:54 +01:00