DEPLOY_013_NO_CLIENT_EXPOSED_INTERNAL_CONFIG: Interne Config geht nicht an den Client

Severity: must. Bereich: deployment-config.

Regel

Nur explizit freigegebene Public-Config darf in HTML oder JavaScript ausgeliefert werden; interne Pfade, DSNs, Secrets und Feature-Interna bleiben serverseitig.

Reflection-Check

check:
  reflect:
    fields:
    - exposed_to_client
    object: environment_config

Evidence

alle Regeln dieses Bereichs