e1ddbf34b3
Some checks are pending
CI / validate (push) Waiting to run
Behebt live verifiziertes Auth-Bypass auf cardecky-api.mana.how (X-User-Id → founder-Tier) und zieht im selben Patch das fehlende Operations-/Compliance-Fundament nach. * Auth-Middleware fail-secure: opt-in via CARDS_AUTH_DEV_STUB="true" (war opt-out, Default true). Compose-Default flipped auf "false", NODE_ENV="production" für cards-api ergänzt, env-Template dokumentiert. vitest.config.ts + tests/setup.ts aktivieren den Stub gezielt für Test-Suiten. * Security-Headers: Hono secureHeaders() in apps/api, SvelteKit hooks.server.ts mit X-Frame/X-Content-Type/Referrer/ HSTS in apps/web. CSP bewusst ausgelassen — eigener Sprint. * CORS-localhost-Whitelist nur außerhalb Prod. * Rate-Limiting (in-memory sliding window, dependency-frei) auf share.receive 60/min/IP, media.upload 30/min/user, decks.generate + decks.from-image 10/min/user, dsgvo.* 10/min/IP. * Health-Endpoint mit echter DB- und MinIO-Probe; /healthz bleibt Liveness, /healthz/details ist Readiness mit 503 bei Failure. * DSGVO-Honesty: storage_ok + storage_error im Response (statt schluckend console.warn), Account-UI zeigt Fehler-Toast. * Audit-Log: strukturierte JSON-Zeile (kind: "audit") auf stdout für /dsgvo/export, /dsgvo/delete, /me/export, /me/delete. * Bug-Fix: duplizierte case "multiple-choice"-Clause in fsrs.ts. Verifiziert: apps/api 17 Files / 104 Tests grün, apps/web check 0 errors. Deploy auf Mac Mini steht noch aus. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
25 lines
1.1 KiB
TypeScript
25 lines
1.1 KiB
TypeScript
import type { Handle } from '@sveltejs/kit';
|
|
|
|
/**
|
|
* Server-Hook für Security-Headers auf jeder ausgelieferten Response.
|
|
*
|
|
* Bewusst minimalistisch: nur die well-known Header, die ohne
|
|
* Browser-Verhaltens-Test sicher sind. **CSP fehlt absichtlich** —
|
|
* eine richtige Content-Security-Policy braucht App-Inventur
|
|
* (inline-styles, externe Theme-Assets, Markdown-Renderer) und
|
|
* sollte separat mit Live-Test eingeführt werden.
|
|
*
|
|
* Cloudflare-Tunnel-Transform-Rules dürfen das gerne nochmal
|
|
* obendrauf setzen — die hier sind die Defense-Tiefe-Schicht für
|
|
* den Fall, dass die Cloudflare-Schiene aus dem Pfad fällt.
|
|
*/
|
|
export const handle: Handle = async ({ event, resolve }) => {
|
|
const response = await resolve(event);
|
|
response.headers.set('X-Frame-Options', 'DENY');
|
|
response.headers.set('X-Content-Type-Options', 'nosniff');
|
|
response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
|
|
if (process.env.NODE_ENV === 'production') {
|
|
response.headers.set('Strict-Transport-Security', 'max-age=15552000; includeSubDomains');
|
|
}
|
|
return response;
|
|
};
|