Response-Validierung

18 Tests verifizieren Fehler-Sanitisierung, Header-Bereinigung und Cookie-Sicherheit.

Konfiguration

Response-Validierungseinstellungen in policy.yaml:

# policy.yaml
response:
  sanitization:
    # Sensible Informationen aus Fehlerantworten entfernen
    remove_stack_traces: true
    remove_internal_ips: true
    remove_sql_errors: true
    remove_file_paths: true

  cookies:
    # Sicherheitsflags für alle Cookies erzwingen
    enforce_secure: true      # HTTPS erforderlich
    enforce_httponly: true    # JavaScript-Zugriff verhindern
    enforce_samesite: "Strict"  # CSRF verhindern

RESP-001BEREINIGT

Stack-Trace-Entfernung

Backend-Antwort (vor Sanitisierung)

HTTP/1.1 500 Internal Server Error

{"error": "Datenbankverbindung fehlgeschlagen", "stack": "at DatabasePool.getConnection...", "debug": {"query": "SELECT * FROM users"}}

Client-Antwort (nach Sanitisierung)

{"error": "Interner Serverfehler"}

Stack Traces und Debug-Informationen werden entfernt, um Informationsoffenlegung zu verhindern.

RESP-005BEREINIGT

Interne IP-Filterung

Backend-Antwort (vor Sanitisierung)

{"error": "Verbindung zu 10.0.1.45:5432 fehlgeschlagen"}

Client-Antwort (nach Sanitisierung)

{"error": "Dienst vorübergehend nicht verfügbar"}

Interne IP-Adressen (10.x.x.x, 172.16.x.x, 192.168.x.x) werden entfernt, um Netzwerktopologie-Offenlegung zu verhindern.

RESP-010ERZWUNGEN

Cookie-Sicherheitsflags

Backend-Antwort (vor Durchsetzung)

Set-Cookie: session=abc123; Path=/

Client-Antwort (nach Durchsetzung)

Set-Cookie: session=abc123; Path=/; Secure; HttpOnly; SameSite=Strict

Alle Cookies werden mit Sicherheitsflags versehen: Secure (nur HTTPS), HttpOnly (kein JavaScript-Zugriff), SameSite=Strict (CSRF-Schutz).