HTTP_015_NO_SENSITIVE_VALUES_IN_QUERY_OR_REDIRECT: Keine sensiblen Werte in Query oder Redirect-Location

Severity: must. Bereich: http-api.

Regel

HTTP-Endpunkte DUERFEN Email, Magic Code, Session-ID, Reset-Token, Telefonnummern oder vergleichbare personenbezogene Auth-Werte nicht in Query-Parametern oder Redirect-Location-Headern transportieren. Fuer vorausgefuellte Login-, Reauth- oder Formularwerte ist ein serverseitiger Pending-State mit opakem Secure/HttpOnly/SameSite-Cookie-Token und kurzer TTL zu verwenden.

Reflection-Check

check:
  reflect:
    fields:
    - sensitive_query_params
    - sensitive_values_in_location
    - state_transfer_strategy
    - cookie_token_policy
    objects:
    - query_contract
    - redirect_contract

Evidence

alle Regeln dieses Bereichs