DEPLOY_013_NO_CLIENT_EXPOSED_INTERNAL_CONFIG: Interne Config geht nicht an den Client
Severity: must. Bereich: deployment-config.
Regel
Nur explizit freigegebene Public-Config darf in HTML oder JavaScript ausgeliefert werden; interne Pfade, DSNs, Secrets und Feature-Interna bleiben serverseitig.
Reflection-Check
check:
reflect:
fields:
- exposed_to_client
object: environment_configEvidence
- OWASP_SECRETS, OWASP Secrets Management Cheat Sheet
- LOCAL_SECURITY, Lokale Security YAML Library