CSP `img-src` + `connect-src` accepteerde alle https:// #121

New issue

Closed

opened 2026-05-26 18:23:49 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:49 +00:00

Owner

Severity: LOW (internet.nl-bevinding #9)

CSP had img-src 'self' data: blob: https: en connect-src 'self' https: — het losse https:-schema staat álle externe https-bronnen toe. internet.nl markeert dat als "onvoldoende beperkend".

Fix: losse https:-schema's verwijderd; alleen 'self' + data: + blob: toegestaan. Geverifieerd dat de app geen externe fetch, <img> of next/image doet — alle externe diensten (KVK, Mollie, DocuSeal) lopen server-side via /api.

**Severity: LOW** (internet.nl-bevinding #9) CSP had `img-src 'self' data: blob: https:` en `connect-src 'self' https:` — het losse `https:`-schema staat álle externe https-bronnen toe. internet.nl markeert dat als "onvoldoende beperkend". **Fix**: losse `https:`-schema's verwijderd; alleen `'self'` + `data:` + `blob:` toegestaan. Geverifieerd dat de app geen externe `fetch`, `<img>` of `next/image` doet — alle externe diensten (KVK, Mollie, DocuSeal) lopen server-side via /api.

jesse-a added the

fixed

security

severity-low

labels

2026-05-26 18:23:50 +00:00

jesse-a commented

2026-05-26 18:23:50 +00:00

Author

Owner

Opgelost in commit bd45604.

Opgelost in commit bd45604.