JS_007_SERVER_AUTHORITATIVE_FOR_MUTATIONS:

Severity: blocker. Bereich: js.

Regel

(kein Regeltext)

Reflection-Check

check:
  fail: JS versteckt nur Buttons oder berechnet Erlaubnis, ohne serverseitige Pruefung.
  pass: Create, Update, Delete, Payment, Auth, Consent und Booking werden serverseitig
    autorisiert und validiert.
  remediation: PHP Action/Application prueft Berechtigung und Invarianten; JS behandelt
    401/403/422/409 als normale UI-Zustaende.
  type: api_client

Evidence

alle Regeln dieses Bereichs