CSP nginx: uklonjen unsafe-inline iz script-src; dodani frame-src none, object-src none, base-uri self, form-action self, worker-src self (ZAKON 29 compliance) · init.js (novi): CSP-safe event dispatc
tipfix
commit318da2e
zakon[
"ZAKON 29 — Sigurnost je default",
"ZAKON 32 — Svaki fix ima chain entry"
]
prioritetP2
uzrokAnaliza digigraf.online otkrila 5 kritičnih propusta: nedostajao og:image (socijalni share prazan), CSP imao unsafe-inline (XSS ranjivost), nedostajao JSON-LD schema (nema rich snippets), nedostajao GDPR consent banner, fleet pricing stranica nije bila linkana s login screen-a.
sto_je_napravljeno[
"CSP nginx: uklonjen unsafe-inline iz script-src; dodani frame-src none, object-src none, base-uri self, form-action self, worker-src self (ZAKON 29 compliance)",
"init.js (novi): CSP-safe event dispatcher koji zamjenjuje SVE inline onclick= atribute (0 onclick u index.html nakon migracije)",
"og:image: generiran 1200x630 PNG, dodani og:image + twitter:card meta tagovi",
"JSON-LD SoftwareApplication schema dodana u index.html head (Google rich snippets)",
"GDPR consent banner: funkci
sto_sprecava_regresijunginx test (nginx -t) mora biti clean. Grep za onclick= u index.html mora vraćati 0. CSP header mora sadržavati frame-src none.
statusDONE