feat: implement security headers and rate limiting; update environment variables and documentation
This commit is contained in:
Nils-Johan Gynther
+6
-2
@@ -6,14 +6,18 @@ Denna plan bryter ner de viktigaste områdena som behöver åtgärdas för att t
|
||||
|
||||
- Kryptera känsliga användaruppgifter i databasen (t.ex. e-post, namn) med AES-256-GCM
|
||||
- Inför rate limiting på API och AI-endpoints (t.ex. @nestjs/throttler)
|
||||
- Lägg till säkerhetshuvuden (Helmet i backend, CSP i frontend)
|
||||
- ✅ Lägg till säkerhetshuvuden (Helmet i backend, CSP i frontend) — **Klart 2026-04-21**
|
||||
- Caddy: globala headers (HSTS, X-Frame-Options, CORP, COOP, COEP, Referrer-Policy, Permissions-Policy)
|
||||
- Next.js: CSP via `next.config.js` med `headers()`-funktionen
|
||||
- NestJS: Helmet konfigurerat i `main.ts` som backup (aktiveras vid nästa rebuild)
|
||||
- Dokumenterat i TEKNISK_BESKRIVNING.md under "Säkerhetshuvuden"
|
||||
- Se över hantering av miljövariabler och secrets (ingen hårdkodning)
|
||||
- Kontrollera och dokumentera rollhantering och accesskontroller
|
||||
|
||||
### Steg-för-steg:
|
||||
1. Identifiera alla fält som ska krypteras och implementera kryptering/dekryptering i backend
|
||||
2. Lägg till och konfigurera rate limiting i NestJS
|
||||
3. Lägg till Helmet och CSP-konfiguration
|
||||
3. ✅ Lägg till Helmet och CSP-konfiguration — **Klart**
|
||||
4. Gå igenom compose.yml och kodbas för att säkerställa att alla hemligheter ligger i .env
|
||||
5. Dokumentera och testa roll/accesskontroller
|
||||
|
||||
|
||||
Reference in New Issue
Block a user