Zusammenfassung Sicherheitsmaßnahmen
1. Sessions abgesichert
Cookie-Härtung umgesetzt:
- secure=true (nur HTTPS)
- httpOnly
- sameSite=strict
- rolling sessions
2. CSRF-Schutz aktiv
- Token wird erzeugt und geprüft
- Schutz für alle Formulare und POST-Requests
3. Content Security Policy (CSP)
- Inline-Scripts blockiert
- nur erlaubte Quellen erlaubt
- Nonce-System eingeführt
- Schutz gegen XSS-Injection
4. Helmet Security Headers
- Standard Security Headers aktiv
- Schutz vor Clickjacking, MIME-Sniffing etc.
5. HTML-Sanitizing (XSS-Schutz)
User-Inhalte werden bereinigt.
Erlaubt z. B.:
<p> <span> <b> <h1> <h2> <h3>
<ul> <li> <a> <img>
Blockiert:
<script>
onerror / onclick
javascript: URLs
<iframe>
6. Download-System abgesichert
- Token-basierte Downloads (/dl/...)
- Direkter Zugriff verhindert
- Dateien nicht öffentlich erreichbar
7. Rate-Limiting / Schutz vor Bruteforce
- Login / sensible Bereiche geschützt
- verhindert massenhafte Anfragen
8. Server-Härtung
- x-powered-by entfernt
- trust proxy korrekt gesetzt
- HTTPS vorbereitet für sichere Cookies
9. Datenbank / init.sql aktualisiert
- Struktur auf aktuellen Stand gebracht
- Grundlage für weitere Absicherung gelegt