konstitisyon.nu

ORGANISATION-KA-INTERNATIONALE/konstitisyon.nu

Fork 0

Commit Graph

Author	SHA1	Message	Date
cedric	170c3c5e90	security: Content Security Policy et headers HTTP sécurité - Renomme next.config.js → next.config.mjs (ESM, satisfait unicorn/prefer-module) - Ajout de headers() avec CSP stricte : script/style-src 'unsafe-inline' (requis Next.js + Emotion/MUI) connect-src dynamique depuis les env vars Directus (API + WebSocket) object-src 'none', frame-ancestors 'none', base-uri 'self' img-src 'self' data: blob: (html2canvas / export PDF) - Ajout X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy sur toutes les routes Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-04-13 21:55:40 +04:00
cedric	dc1f115bd6	security: sanitiser la sortie marked avec DOMPurify (XSS) export-pdf-button et print-button injectaient marked(content) directement dans innerHTML / document.write. Un lien Markdown javascript: passait le filtre hasRestrictedChar et pouvait s'exécuter. Ajout de DOMPurify.sanitize() via import dynamique (déjà présent en dep transitive de jspdf) sur les deux composants, avec whitelist de tags et d'attributs stricte. markdown-renderer n'est pas touché car react-markdown-preview utilise rehype-sanitize en interne. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-04-13 21:48:26 +04:00
cedric	d8a63bc4d8	feat: rate limiting sur les routes d'authentification critiques - Ajout de lib/rate-limit.js : fabrique de limiter en mémoire (closure + Map avec nettoyage lazy), sans dépendance externe, réutilisable - Ajout de middleware.js : intercepte /api/auth/register (5 req/15min) et /api/auth/callback/credentials (10 req/5min), répond 429 + Retry-After - Ajout de tasks/todo.md et tasks/lessons.md (suivi CLAUDE.md) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-04-13 21:30:38 +04:00

Author

SHA1

Message

Date

cedric

170c3c5e90

security: Content Security Policy et headers HTTP sécurité

- Renomme next.config.js → next.config.mjs (ESM, satisfait unicorn/prefer-module)
- Ajout de headers() avec CSP stricte :
    script/style-src 'unsafe-inline' (requis Next.js + Emotion/MUI)
    connect-src dynamique depuis les env vars Directus (API + WebSocket)
    object-src 'none', frame-ancestors 'none', base-uri 'self'
    img-src 'self' data: blob: (html2canvas / export PDF)
- Ajout X-Frame-Options, X-Content-Type-Options, Referrer-Policy,
  Permissions-Policy sur toutes les routes

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-04-13 21:55:40 +04:00

cedric

dc1f115bd6

security: sanitiser la sortie marked avec DOMPurify (XSS)

export-pdf-button et print-button injectaient marked(content) directement
dans innerHTML / document.write. Un lien Markdown javascript: passait le
filtre hasRestrictedChar et pouvait s'exécuter.

Ajout de DOMPurify.sanitize() via import dynamique (déjà présent en dep
transitive de jspdf) sur les deux composants, avec whitelist de tags
et d'attributs stricte. markdown-renderer n'est pas touché car
react-markdown-preview utilise rehype-sanitize en interne.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-04-13 21:48:26 +04:00

cedric

d8a63bc4d8

feat: rate limiting sur les routes d'authentification critiques

- Ajout de lib/rate-limit.js : fabrique de limiter en mémoire (closure +
  Map avec nettoyage lazy), sans dépendance externe, réutilisable
- Ajout de middleware.js : intercepte /api/auth/register (5 req/15min)
  et /api/auth/callback/credentials (10 req/5min), répond 429 + Retry-After
- Ajout de tasks/todo.md et tasks/lessons.md (suivi CLAUDE.md)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-04-13 21:30:38 +04:00

3 Commits