security: Content Security Policy et headers HTTP sécurité

- Renomme next.config.js → next.config.mjs (ESM, satisfait unicorn/prefer-module) - Ajout de headers() avec CSP stricte : script/style-src 'unsafe-inline' (requis Next.js + Emotion/MUI) connect-src dynamique depuis les env vars Directus (API + WebSocket) object-src 'none', frame-ancestors 'none', base-uri 'self' img-src 'self' data: blob: (html2canvas / export PDF) - Ajout X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy sur toutes les routes Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-13 21:55:40 +04:00
parent dc1f115bd6
commit 170c3c5e90
3 changed files with 74 additions and 14 deletions
@@ -10,7 +10,7 @@

 ## Améliorations hautes (P2)

- [ ] **Headers CSP** — ajouter dans `next.config.js`
+- [x] **Headers CSP** — `next.config.mjs` (renommé depuis .js) avec CSP + 4 headers sécurité
 - [ ] **Tests unitaires** — Vitest sur `lib/format.js`, `lib/version-utils.js`, `lib/rate-limit.js`
 - [ ] **Tests extensions Directus** — mocks VersionsService
 - [ ] **Refresh token explicite** — callback `jwt` dans NextAuth options