JS_007_SERVER_AUTHORITATIVE_FOR_MUTATIONS:
Severity: blocker. Bereich: js.
Regel
(kein Regeltext)
Reflection-Check
check:
fail: JS versteckt nur Buttons oder berechnet Erlaubnis, ohne serverseitige Pruefung.
pass: Create, Update, Delete, Payment, Auth, Consent und Booking werden serverseitig
autorisiert und validiert.
remediation: PHP Action/Application prueft Berechtigung und Invarianten; JS behandelt
401/403/422/409 als normale UI-Zustaende.
type: api_clientEvidence
- DDD_REFERENCE, Domain Language: Domain-Driven Design Reference
- MDN_FETCH, MDN: Using the Fetch API