jesse-a/OpenCRM
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases 1 Packages Wiki Activity Actions

HSTS-header ontbrak #122

New issue
Closed
opened 2026-05-26 18:23:50 +00:00 by jesse-a · 1 comment
jesse-a commented 2026-05-26 18:23:50 +00:00
Owner
Copy link

Severity: MEDIUM (internet.nl-bevinding)

De app stuurde geen Strict-Transport-Security-header. Een MitM-aanvaller op een open wifi kan een eerste-bezoek over HTTP onderscheppen en SSL-stripping toepassen — gebruiker merkt geen https:// in de adresbalk.

Fix: Strict-Transport-Security: max-age=31536000; includeSubDomains op alle responses via next.config.ts. Browsers verbinden vervolgens 1 jaar lang direct via HTTPS.

**Severity: MEDIUM** (internet.nl-bevinding) De app stuurde geen `Strict-Transport-Security`-header. Een MitM-aanvaller op een open wifi kan een eerste-bezoek over HTTP onderscheppen en SSL-stripping toepassen — gebruiker merkt geen `https://` in de adresbalk. **Fix**: `Strict-Transport-Security: max-age=31536000; includeSubDomains` op alle responses via `next.config.ts`. Browsers verbinden vervolgens 1 jaar lang direct via HTTPS.
jesse-a commented 2026-05-26 18:23:50 +00:00
Author
Owner
Copy link

Opgelost in commit 08a8fa0.

Opgelost in commit 08a8fa0.
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
v1.0.0
v0.11
v0.10
v0.9
v0.8
v0.7
v0.6
v0.5
Labels
Clear labels   
deferred
Known issue, deferred

  
fixed
Resolved

  
security
Security review finding

  
severity-high
High severity

  
severity-low
Low severity

  
severity-medium
Medium severity

No labels
deferred
fixed
security
severity-high
severity-low
severity-medium
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
jesse-a/OpenCRM#122
No description provided.