JS_025_SAME_ORIGIN_CSRF_FOR_MUTATIONS:

Severity: blocker. Bereich: js.

Regel

(kein Regeltext)

Reflection-Check

check:
  applies_when: method in ['POST','PUT','PATCH','DELETE']
  fail: Mutation laeuft ohne Credentials-/CSRF-Konzept oder sendet JSON als falschen
    Content-Type.
  pass: Mutation nutzt credentials same-origin und projektweite CSRF-/Session-Strategie;
    Content-Type ist korrekt gesetzt.
  remediation: 'Fetch-Wrapper erzwingt credentials: ''same-origin'' und fuegt CSRF-Token/Header
    hinzu, wenn Projekt es verwendet.'
  type: api_client

Evidence

alle Regeln dieses Bereichs