CSS_004_NO_AUTHORIZATION_BY_DISPLAY_NONE:
Severity: blocker. Bereich: css.
Regel
(kein Regeltext)
Reflection-Check
check:
fail: Button oder Link ist per display:none/hidden Klasse verborgen, aber serverseitig
erreichbar oder im DOM vorhanden.
pass: Nicht erlaubte Aktionen werden serverseitig nicht gerendert oder serverseitig
gesperrt; CSS versteckt sie nicht als Schutz.
remediation: Autorisierung in PHP pruefen; DOM nur erlaubte Aktionen rendern; CSS
darf optionale Sichtbarkeit nicht als Sicherheitsgrenze nutzen.
type: php_css_contractEvidence
- COCKBURN_HEXAGONAL, Alistair Cockburn: Hexagonal Architecture
- FOWLER_PRESENTATION_DOMAIN, Martin Fowler: Presentation Domain Separation