Sicherheit: CSP aktiviert, JavaScript ausgelagert, XSS-Schutz und README aktualisiert
This commit is contained in:
Markus Busche
12
README.md
12
README.md
@@ -13,6 +13,7 @@ Ein einfacher QR-Code-Generator, der vollständig im Browser läuft. Keine Daten
|
||||
- ✅ **WiFi QR-Code Unterstützung mit eigener UI**
|
||||
- ✅ **Dynamische Klartext-Anzeige**
|
||||
- ✅ **Automatische QR-Code-Generierung**
|
||||
- ✅ **Sicher gegen XSS (Content Security Policy, validierte Eingaben, kein Inline-JS)**
|
||||
|
||||
## Docker Setup
|
||||
|
||||
@@ -122,4 +123,13 @@ Das Smartphone erkennt automatisch, dass es sich um WiFi-Daten handelt und biete
|
||||
|
||||
### Intelligente Validierung
|
||||
- WiFi-Passwort ohne SSID wird als Fehler angezeigt
|
||||
- Leere Eingaben werden entsprechend behandelt
|
||||
- Leere Eingaben werden entsprechend behandelt
|
||||
|
||||
## Sicherheit & Content Security Policy (CSP)
|
||||
|
||||
Die Anwendung ist gegen XSS-Angriffe abgesichert:
|
||||
|
||||
- Es wird eine strenge Content Security Policy (CSP) verwendet (`script-src 'self'`), die Inline-Skripte blockiert.
|
||||
- Das gesamte JavaScript ist in die Datei `main.js` ausgelagert und wird als externes Skript eingebunden.
|
||||
- Alle Benutzereingaben und URL-Parameter werden validiert und gefiltert.
|
||||
- Es wird kein `innerHTML` verwendet, sondern nur sichere Methoden wie `.textContent` und `.value`.
|
||||
Reference in New Issue
Block a user