dd3ec070f7
### Security-Fixes (K1–K6, W1–W4, W7, N1, N5–N6, V1, V5–V7)
- K1: CSRF-Schutz via Double-Submit-Cookie (httpapi/csrf.go + csrf_helpers.go)
- K2: requireScreenAccess() in allen manage-Handlern (Tenant-Isolation)
- K3: Tenant-Check bei DELETE /api/v1/media/{id}
- K4: requirePlaylistAccess() + GetByItemID() für JSON-API Playlist-Routen
- K5: Admin-Passwort nur noch als [gesetzt] geloggt
- K6: POST /api/v1/screens/register mit Pre-Shared-Secret (MORZ_INFOBOARD_REGISTER_SECRET)
- W1: Race Condition bei order_index behoben (atomare Subquery in AddItem)
- W2: Graceful Shutdown mit 15s Timeout auf SIGTERM/SIGINT
- W3: http.MaxBytesReader (512 MB) in allen Upload-Handlern
- W4: err.Error() nicht mehr an den Client
- W7: Template-Execution via bytes.Buffer (kein partial write bei Fehler)
- N1: Rate-Limiting auf /login (5 Versuche/Minute pro IP, httpapi/ratelimit.go)
- N5: Directory-Listing auf /uploads/ deaktiviert (neuteredFileSystem)
- N6: Uploads nach Tenant getrennt (uploads/{tenantSlug}/)
- V1: Upload-Logik konsolidiert in internal/fileutil/fileutil.go
- V5: Cookie-Name als Konstante reqcontext.SessionCookieName
- V6: Strukturiertes Logging mit log/slog + JSON-Handler
- V7: DB-Pool wird im Graceful-Shutdown geschlossen
### Phase 6: Screenshot-Erzeugung
- player/agent/internal/screenshot/screenshot.go erstellt
- Integration in app.go mit MORZ_INFOBOARD_SCREENSHOT_EVERY Config
### UX: PDF.js Integration
- pdf.min.js + pdf.worker.min.js als lokale Assets eingebettet
- Automatisches Seitendurchblättern im Player
### Ansible: Neue Rollen
- signage_base, signage_server, signage_provision erstellt
- inventory.yml und site.yml erweitert
### Konzept-Docs
- GRUPPEN-KONZEPT.md, KAMPAGNEN-AKTIVIERUNG.md, MONITORING-KONZEPT.md
- PROVISION-KONZEPT.md, TEMPLATE-EDITOR.md, WATCHDOG-KONZEPT.md
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
98 lines
3.1 KiB
Go
98 lines
3.1 KiB
Go
package httpapi
|
|
|
|
// csrf.go — Double-Submit-Cookie CSRF-Schutz (K1) und neuteredFileSystem (N5).
|
|
//
|
|
// Jede sichere State-ändernde Anfrage (POST/PUT/PATCH/DELETE) muss:
|
|
// 1. Den Cookie „morz_csrf" enthalten.
|
|
// 2. Den gleichen Wert als Form-Feld „csrf_token" oder Header „X-CSRF-Token" mitsenden.
|
|
//
|
|
// Token-Erzeugung: beim Rendern der Login-/Manage-Seiten wird SetCSRFCookie aufgerufen.
|
|
// Token-Validierung: CSRFProtect-Middleware prüft, ob Cookie und Payload übereinstimmen.
|
|
//
|
|
// SameSite=Lax schützt bereits gegen die meisten CSRF-Angriffe aus anderen Domains,
|
|
// aber das Double-Submit-Pattern bietet zusätzlichen Schutz für Formulare die per GET
|
|
// auf anderen Seiten eingebettet werden könnten.
|
|
|
|
import (
|
|
"crypto/rand"
|
|
"encoding/hex"
|
|
"net/http"
|
|
)
|
|
|
|
const (
|
|
csrfCookieName = "morz_csrf"
|
|
csrfFieldName = "csrf_token"
|
|
csrfHeaderName = "X-CSRF-Token"
|
|
)
|
|
|
|
// GenerateCSRFToken erzeugt ein 32-Byte zufälliges Hex-Token.
|
|
func GenerateCSRFToken() (string, error) {
|
|
buf := make([]byte, 32)
|
|
if _, err := rand.Read(buf); err != nil {
|
|
return "", err
|
|
}
|
|
return hex.EncodeToString(buf), nil
|
|
}
|
|
|
|
// SetCSRFCookie setzt (oder erneuert) den CSRF-Cookie im Response.
|
|
// Gibt das Token zurück, damit es in Template-Daten eingebettet werden kann.
|
|
func SetCSRFCookie(w http.ResponseWriter, r *http.Request, devMode bool) string {
|
|
// Existierendes Token wiederverwenden, wenn vorhanden.
|
|
if c, err := r.Cookie(csrfCookieName); err == nil && c.Value != "" {
|
|
return c.Value
|
|
}
|
|
token, err := GenerateCSRFToken()
|
|
if err != nil {
|
|
// Im Fehlerfall leeres Token — Handler müssen diesen Fall prüfen.
|
|
return ""
|
|
}
|
|
http.SetCookie(w, &http.Cookie{
|
|
Name: csrfCookieName,
|
|
Value: token,
|
|
Path: "/",
|
|
HttpOnly: false, // JavaScript darf nicht lesen, aber das ist ein Cookie-read, kein DOM-access
|
|
Secure: !devMode,
|
|
SameSite: http.SameSiteLaxMode,
|
|
MaxAge: int((8 * 3600)), // 8h — entspricht sessionTTL
|
|
})
|
|
return token
|
|
}
|
|
|
|
// CSRFTokenFromRequest liest das CSRF-Token aus Form-Feld oder Header.
|
|
func CSRFTokenFromRequest(r *http.Request) string {
|
|
// Header hat Vorrang (API-Clients).
|
|
if h := r.Header.Get(csrfHeaderName); h != "" {
|
|
return h
|
|
}
|
|
// Form-Feld (HTML-Formulare).
|
|
return r.FormValue(csrfFieldName)
|
|
}
|
|
|
|
// CSRFProtect ist Middleware für POST/PUT/PATCH/DELETE-Requests.
|
|
// Sie prüft, ob das CSRF-Token im Request mit dem Cookie übereinstimmt.
|
|
// GET-/HEAD-/OPTIONS-Requests werden durchgelassen.
|
|
func CSRFProtect(devMode bool) func(http.Handler) http.Handler {
|
|
return func(next http.Handler) http.Handler {
|
|
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
|
|
switch r.Method {
|
|
case http.MethodGet, http.MethodHead, http.MethodOptions, http.MethodTrace:
|
|
next.ServeHTTP(w, r)
|
|
return
|
|
}
|
|
|
|
cookie, err := r.Cookie(csrfCookieName)
|
|
if err != nil || cookie.Value == "" {
|
|
http.Error(w, "CSRF-Token fehlt (Cookie)", http.StatusForbidden)
|
|
return
|
|
}
|
|
|
|
token := CSRFTokenFromRequest(r)
|
|
if token == "" || token != cookie.Value {
|
|
http.Error(w, "Ungültiger CSRF-Token", http.StatusForbidden)
|
|
return
|
|
}
|
|
|
|
next.ServeHTTP(w, r)
|
|
})
|
|
}
|
|
}
|