ferdi2go/Meeting-Mixer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[Security] Fehlende SRI + Content-Security-Policy für CDN/Assets #6

New Issue
Closed
opened 2026-06-03 14:10:02 +02:00 by ferdi2go · 1 comment
ferdi2go commented 2026-06-03 14:10:02 +02:00
Owner
Copy Link
Copy Source

Schweregrad: MEDIUM (OWASP A05/A08)

Dateien: index.html:11, index.html (head)

Problem: SheetJS wird ohne integrity-Hash vom CDN geladen (Supply-Chain-Risiko). Es existiert zudem keine CSP.

Fix: integrity="sha384-…" crossorigin="anonymous" am Script ergänzen oder SheetJS lokal vendoren. CSP-<meta> mit default-src 'self', erlaubten Script-/Font-Quellen und object-src 'none'.

**Schweregrad:** MEDIUM (OWASP A05/A08) **Dateien:** `index.html:11`, `index.html` (head) **Problem:** SheetJS wird ohne `integrity`-Hash vom CDN geladen (Supply-Chain-Risiko). Es existiert zudem keine CSP. **Fix:** `integrity="sha384-…" crossorigin="anonymous"` am Script ergänzen oder SheetJS lokal vendoren. CSP-`<meta>` mit `default-src 'self'`, erlaubten Script-/Font-Quellen und `object-src 'none'`.
ferdi2go added the securityseverity/medium labels 2026-06-03 14:10:02 +02:00
ferdi2go commented 2026-06-03 14:33:34 +02:00
Author
Owner
Copy Link
Copy Source

Behoben in f8efcf1: SheetJS-Script mit integrity="sha384-…" + crossorigin abgesichert; CSP-<meta> ergänzt (script-src 'self' https://cdn.sheetjs.com, object-src 'none', base-uri 'self' usw.). Headless gegen localhost verifiziert: keine CSP-Verstöße, SheetJS lädt mit gültigem Integrity-Digest, app.js rendert normal. (unsafe-eval nicht nötig — SheetJS nutzt kein eval/Function.)

Behoben in `f8efcf1`: SheetJS-Script mit `integrity="sha384-…"` + `crossorigin` abgesichert; CSP-`<meta>` ergänzt (`script-src 'self' https://cdn.sheetjs.com`, `object-src 'none'`, `base-uri 'self'` usw.). Headless gegen localhost verifiziert: **keine CSP-Verstöße**, SheetJS lädt mit gültigem Integrity-Digest, `app.js` rendert normal. (`unsafe-eval` nicht nötig — SheetJS nutzt kein eval/Function.)
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
a11y
Barrierefreiheit
 bug
Logik-/Korrektheitsfehler
 code-quality
Code-Qualitaet / Refactoring
 docs
Dokumentation
 performance
Performance
 security
Sicherheit / Hardening
 severity/high
Hoher Schweregrad
 severity/low
Niedriger Schweregrad
 severity/medium
Mittlerer Schweregrad
 testing
Tests
No Label security severity/medium
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
ferdi2go
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: ferdi2go/Meeting-Mixer#6
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?