Security: CORS allow_headers enthält kein Authorization #2

New Issue

2026-04-23T14:14:01+02:00

ferdi2go commented

2026-04-23 14:14:01 +02:00

Problem\n\n`server.py:76` — `allow_headers=["Content-Type"]` fehlt `Authorization`.\n\nSobald die App über eine andere Origin aufgerufen wird (z.B. VCH-Subdomain-Wechsel), schlagen alle `apiFetch()`-Calls mit Bearer-Token still fehl — der Browser blockiert den CORS-Preflight.\n\n## Fix\n\n`python\nallow_headers=["Content-Type", "Authorization"]\n`

## Problem\n\n`server.py:76` — `allow_headers=["Content-Type"]` fehlt `Authorization`.\n\nSobald die App über eine andere Origin aufgerufen wird (z.B. VCH-Subdomain-Wechsel), schlagen alle `apiFetch()`-Calls mit Bearer-Token still fehl — der Browser blockiert den CORS-Preflight.\n\n## Fix\n\n```python\nallow_headers=["Content-Type", "Authorization"]\n```

ferdi2go added the priority: high security labels 2026-04-23 14:14:01 +02:00

ferdi2go commented

2026-04-23 14:22:50 +02:00