Basti/Bruno
1
0
Fork 0
Code Issues 63 Pull requests Projects Releases Packages Wiki Activity Actions

Security Headers: X-Frame-Options, CSP, HSTS implementieren #85

New issue
Open
opened 2026-03-30 20:21:40 +00:00 by David · 0 comments
David commented 2026-03-30 20:21:40 +00:00
Collaborator
Copy link

Beschreibung

backend/main.py setzt keine HTTP Security Headers. Es fehlen: X-Frame-Options, Content-Security-Policy, X-Content-Type-Options, Strict-Transport-Security, X-XSS-Protection.

Hintergrund

Ohne Security Headers ist die Anwendung anfällig für Clickjacking (iframe-Einbettung), MIME-Type-Sniffing und andere Browser-basierte Angriffe. Dies ist ein Standard-Sicherheitscheck bei Penetration Tests.

Akzeptanzkriterien

  • Middleware die alle Responses um Security Headers ergänzt
  • X-Frame-Options: DENY
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • Content-Security-Policy mit sinnvollen Defaults
  • HSTS optional (nur wenn HTTPS konfiguriert)
  • Test: Response enthält alle erwarteten Headers

Technische Hinweise

  • Betroffene Datei: backend/main.py
  • Ansatz: FastAPI Middleware @app.middleware("http")
  • Alternativ: secure Library für Python
  • Migration nötig: nein

Aufwand: S

## Beschreibung `backend/main.py` setzt keine HTTP Security Headers. Es fehlen: `X-Frame-Options`, `Content-Security-Policy`, `X-Content-Type-Options`, `Strict-Transport-Security`, `X-XSS-Protection`. ## Hintergrund Ohne Security Headers ist die Anwendung anfällig für Clickjacking (iframe-Einbettung), MIME-Type-Sniffing und andere Browser-basierte Angriffe. Dies ist ein Standard-Sicherheitscheck bei Penetration Tests. ## Akzeptanzkriterien - [ ] Middleware die alle Responses um Security Headers ergänzt - [ ] `X-Frame-Options: DENY` - [ ] `X-Content-Type-Options: nosniff` - [ ] `Referrer-Policy: strict-origin-when-cross-origin` - [ ] `Content-Security-Policy` mit sinnvollen Defaults - [ ] HSTS optional (nur wenn HTTPS konfiguriert) - [ ] Test: Response enthält alle erwarteten Headers ## Technische Hinweise - Betroffene Datei: `backend/main.py` - Ansatz: FastAPI Middleware `@app.middleware("http")` - Alternativ: `secure` Library für Python - Migration nötig: nein ## Aufwand: S
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
detached
feature/ui-redesign
No results found.
Labels
Clear labels   
api

API Endpoints betroffen

  
backend

Backend/Python betroffen

  
bug

Fehler/Bug

  
database

Datenbank/Migration betroffen

  
doku

Dokumentation nötig

  
feature

Neues Feature

  
frontend

Frontend/React betroffen

  
improvement

Verbesserung bestehender Funktion

  
in work

Issue wird gerade bearbeitet

  
kritisch

Höchste Priorität

  
L

Large: 1+ Tag, > 5 Dateien

  
M

Medium: halber Tag, 3-5 Dateien

  
niedrig

Niedrige Priorität

  
normal

Normale Priorität

  
review

In Review

  
S

Small: < 1h, 1-2 Dateien

  
service

Service/Pipeline betroffen

  
wichtig

Hohe Priorität

  
XL

Extra Large: mehrere Tage

No labels
api
backend
bug
database
doku
feature
frontend
improvement
in work
kritisch
L
M
niedrig
normal
review
S
service
wichtig
XL
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
Basti/Bruno#85
No description provided.