food-market

nns/food-market

Fork 0

Commit graph

Author	SHA1	Message	Date
nns	a80471d0f9	fix(security): add HSTS header on stage + integration test Some checks failed Auto-tag / Create date-tag (push) Waiting to run Details CI / Backend (.NET 8) (push) Waiting to run Details CI / Web (React + Vite) (push) Waiting to run Details CI / POS (WPF, Windows) (push) Waiting to run Details Docker Web / Build + push Web (push) Has been cancelled Details Docker Web / Deploy Web on stage (push) Has been cancelled Details Найдено в Sprint 28 security audit: stage отдаёт security-заголовки (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy и др.), но БЕЗ Strict-Transport-Security. HSTS из ASP.NET Core (Program.cs UseHsts) не срабатывает потому что api за nginx-прокси видит запрос как HTTP (нет ForwardedHeaders middleware'a; nginx X-Forwarded-Proto не дешифруется). Простейший фикс: добавить HSTS в deploy/nginx.conf (web-контейнер). Brower honors HSTS только на HTTPS-ответах — безопасно unconditional. max-age=2592000 (30 дней), без includeSubDomains и без preload — pre-emptive consent, можно безопасно убрать. Когда production stack устаканится и admin.food-market.kz будет подан в hstspreload.org — увеличить до 31536000 + preload + includeSubDomains. Verified: curl -I https://test.admin.food-market.kz/ \| grep -i strict > strict-transport-security: max-age=2592000 Integration test 08-security-headers.spec.ts проверяет 7 security- заголовков на главной + на 404 (always-параметр). Cert: 10/10 integration tests passed in 1.3m. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-06-09 03:35:38 +05:00

Author

SHA1

Message

Date

nns

a80471d0f9

fix(security): add HSTS header on stage + integration test

Auto-tag / Create date-tag (push) Waiting to run

Details

CI / Backend (.NET 8) (push) Waiting to run

Details

CI / Web (React + Vite) (push) Waiting to run

Details

CI / POS (WPF, Windows) (push) Waiting to run

Details

Docker Web / Build + push Web (push) Has been cancelled

Details

Docker Web / Deploy Web on stage (push) Has been cancelled

Details

Найдено в Sprint 28 security audit: stage отдаёт security-заголовки
(CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy и др.), но
БЕЗ Strict-Transport-Security. HSTS из ASP.NET Core (Program.cs UseHsts)
не срабатывает потому что api за nginx-прокси видит запрос как HTTP
(нет ForwardedHeaders middleware'a; nginx X-Forwarded-Proto не дешифруется).

Простейший фикс: добавить HSTS в deploy/nginx.conf (web-контейнер).
Brower honors HSTS только на HTTPS-ответах — безопасно unconditional.

max-age=2592000 (30 дней), без includeSubDomains и без preload —
pre-emptive consent, можно безопасно убрать. Когда production stack
устаканится и admin.food-market.kz будет подан в hstspreload.org —
увеличить до 31536000 + preload + includeSubDomains.

Verified:
  curl -I https://test.admin.food-market.kz/ | grep -i strict
  > strict-transport-security: max-age=2592000

Integration test 08-security-headers.spec.ts проверяет 7 security-
заголовков на главной + на 404 (always-параметр).

Cert: 10/10 integration tests passed in 1.3m.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-09 03:35:38 +05:00

1 commit