@cosmicdrift/kumiko-bundled-features 0.48.1 → 0.51.0

package/src/legal-pages/__tests__/legal-pages.integration.test.ts

@@ -141,12 +141,9 @@ describe("legal-pages :: edge-cases", () => {
     expect(body).toContain("Tenant-Admin");
   });
 
-  test("Markdown-Body mit <script> wird NICHT escaped (dokumentiertes XSS-Verhalten, siehe README)", async () => {
-    // Bewusstes Verhalten: marked.parse rendered HTML 1:1, kein
-    // DOMPurify-Layer aktuell. Dokumentiert in legal-pages/README.md
-    // ('XSS — bewusst aktuell nicht gesichert'). Test pinnt das
-    // Verhalten — wenn es sich ändert (z.B. DOMPurify dazu), schlägt
-    // dieser Test fehl und der Wechsel ist dokumentiert.
+  test("Markdown-Body mit <script> wird escaped (XSS-Härtung)", async () => {
+    // Server-Render ist gegen untrusted Tenant-Authoren gehärtet:
+    // Raw-HTML im Markdown-Body wird als Text escaped (kein Passthrough).
     await seedTextBlock(db, {
       tenantId: SYSTEM_TENANT_ID,
       slug: "imprint",
@@ -158,8 +155,8 @@ describe("legal-pages :: edge-cases", () => {
     const res = await stack.app.request("/legal/impressum");
     expect(res.status).toBe(200);
     const html = await res.text();
-    // Aktuelles Verhalten: script-tag bleibt unescaped im Output
-    expect(html).toContain("<script>window.x=1</script>");
+    expect(html).not.toContain("<script>window.x=1</script>");
+    expect(html).toContain("&lt;script&gt;");
   });
 });
 
@@ -170,6 +167,16 @@ describe("legal-pages :: cache-control", () => {
   });
 });
 
+describe("legal-pages :: security headers", () => {
+  test("server-gerenderte Pages tragen CSP + Hardening-Header", async () => {
+    const res = await stack.app.request("/legal/impressum");
+    expect(res.headers.get("content-security-policy")).toContain("script-src 'none'");
+    expect(res.headers.get("x-content-type-options")).toBe("nosniff");
+    expect(res.headers.get("x-frame-options")).toBe("SAMEORIGIN");
+    expect(res.headers.get("referrer-policy")).toBe("strict-origin-when-cross-origin");
+  });
+});
+
 describe("markdown render helpers", () => {
   test("renderMarkdownToHtml converts markdown to HTML", () => {
     const html = renderMarkdownToHtml("# Title\n\n**bold**");

package/src/legal-pages/feature.ts

@@ -9,6 +9,7 @@ import {
 } from "@cosmicdrift/kumiko-framework/engine";
 import { LEGAL_REQUIRED_BLOCKS, LEGAL_ROUTES } from "./constants";
 import { renderMarkdownToHtml, wrapInLayout } from "./markdown";
+import { securePageHeaders } from "./security-headers";
 
 // QN-Konstante als dokumentierter Public-Contract des text-content-
 // Features. Ein magic-string statt eines Code-Imports ist hier explizit
@@ -113,10 +114,14 @@ export function createLegalPagesFeature(opts: LegalPagesOptions = {}): FeatureDe
             lang: route.lang,
           });
 
-          return c.body(html, 200, {
-            "content-type": "text/html; charset=utf-8",
-            "cache-control": "public, max-age=300",
-          });
+          return c.body(
+            html,
+            200,
+            securePageHeaders({
+              "content-type": "text/html; charset=utf-8",
+              "cache-control": "public, max-age=300",
+            }),
+          );
         },
       });
     }

package/src/legal-pages/markdown.ts

@@ -1,57 +1,7 @@
-import { escapeHtml, escapeHtmlAttr } from "@cosmicdrift/kumiko-headless";
-import { Marked } from "marked";
+// Re-export aus dem geteilten page-render-Kern (managed-pages nutzt
+// denselben gehärteten Renderer + Default-Layout). Namen bleiben stabil
+// für legal-pages' Public-API (index.ts exportiert renderMarkdownToHtml +
+// wrapInLayout).
 
-// Markdown→HTML mit eigener `marked`-Instance. GFM aus, breaks aus —
-// Legal-Pages sind strukturiert genug dass GFM-Tables/Strikethrough/
-// Task-Lists nicht nötig sind. Headers + Listen + Links + Code reichen.
-//
-// Instance statt globaler `marked.setOptions()` damit andere Features
-// die `marked` als runtime-dep nutzen ihre eigenen Optionen behalten —
-// modul-level side-effect auf shared library wäre brittle bei mehreren
-// Konsumenten.
-//
-// XSS-Schutz: marked rendered tags 1:1, also kann ein böswilliger Text-
-// Editor (TenantAdmin) <script>-Tags reinschreiben. Aktuell akzeptiert
-// weil nur trusted Roles (TenantAdmin/SystemAdmin) Texte setzen können —
-// bei einem Multi-Author-Setup müsste DOMPurify oder isomorphic-dompurify
-// dazu. Dokumentiert in README, Phase-2-Hardening.
-const markdownRenderer = new Marked({
-  gfm: false,
-  breaks: false,
-});
-
-export function renderMarkdownToHtml(markdown: string): string {
-  // @cast-boundary render-helper marked.parse return-type ist
-  // `string | Promise<string>` — mit `{ async: false }` runtime-garantiert
-  // sync (string). Cast nur API-Vertragsfix, kein Type-Loss.
-  return markdownRenderer.parse(markdown, { async: false }) as string;
-}
-
-// Layout-Wrapper für Legal-Pages — minimaler HTML-Skeleton mit Inline-
-// CSS damit die Pages auch ohne App-Layout sauber aussehen. Apps die
-// das in ihr eigenes Layout integrieren wollen, nutzen text-content's
-// by-slug-query direkt und rendern selbst.
-export function wrapInLayout(opts: { title: string; bodyHtml: string; lang: string }): string {
-  return `<!doctype html>
-<html lang="${escapeHtmlAttr(opts.lang)}">
-<head>
-<meta charset="utf-8">
-<meta name="viewport" content="width=device-width, initial-scale=1">
-<title>${escapeHtml(opts.title)}</title>
-<style>
-  body { font-family: system-ui, -apple-system, sans-serif; max-width: 720px;
-         margin: 2rem auto; padding: 0 1rem; line-height: 1.6; color: #222; }
-  h1, h2, h3 { line-height: 1.2; margin-top: 2rem; }
-  h1 { font-size: 1.8rem; } h2 { font-size: 1.4rem; } h3 { font-size: 1.15rem; }
-  a { color: #0066cc; }
-  code { background: #f4f4f4; padding: 0.1rem 0.3rem; border-radius: 3px; }
-  hr { border: 0; border-top: 1px solid #ddd; margin: 2rem 0; }
-</style>
-</head>
-<body>
-<main>
-${opts.bodyHtml}
-</main>
-</body>
-</html>`;
-}
+export { wrapInLayout } from "../page-render/layout";
+export { renderSafeMarkdown as renderMarkdownToHtml } from "../page-render/markdown";

package/src/legal-pages/security-headers.ts

@@ -0,0 +1 @@
+export { securePageHeaders } from "../page-render/security-headers";

package/src/mail-transport-inmemory/feature.ts

@@ -87,7 +87,7 @@ export const mailTransportInMemoryFeature = defineFeature(FEATURE_NAME, (r) => {
       // Returnt den per-tenant Buffer. Identitätsstabil zwischen calls
       // damit die Demo-Inbox accumulated bleibt.
       return getOrCreateTransportForTenant(tenantId);
-    },
+    }, // @wrapper-known semantic-alias
   };
   r.useExtension("mailTransport", "inmemory", plugin);
 });

package/src/mail-transport-smtp/feature.ts

@@ -110,7 +110,7 @@ export const mailTransportSmtpFeature = defineFeature(FEATURE_NAME, (r) => {
   // `entityName` "smtp" is what tenants set in mail-foundation's
   // `provider` config-key to pick this transport.
   const plugin: MailTransportPlugin = {
-    build: async (ctx: HandlerContext, tenantId: string) => buildSmtpTransport(ctx, tenantId),
+    build: async (ctx: HandlerContext, tenantId: string) => buildSmtpTransport(ctx, tenantId), // @wrapper-known semantic-alias
   };
   r.useExtension("mailTransport", "smtp", plugin);