870d6a2b1d
- serve.py: /templates.json mappt nun auf web/templates.json (GET + PUT).
Zuvor lieferte der Endpoint 404, weil der Handler nach ROOT/templates.json
suchte, die Datei aber in web/ liegt.
- AGENTS.md als Verhaltensregeln fuer Agenten umgebaut (statt defensive
Selbstbehauptung in Projektdoku). Erfundene/nicht existente Artefakte
aus der Doku entfernt, Commit-Tabelle aktualisiert, Tippfehler und
nicht gerenderter date-Ausdruck korrigiert.
- docs/{GETTING_STARTED,ARCHITECTURE,API_REFERENCE,DEPLOYMENT,DEBUGGING,
SECURITY}.md als Stubs angelegt (waren in docs/INDEX.md verlinkt, aber
inexistent).
- history/CHANGELOG.md als Stub angelegt.
- scripts/cleanup_server.sh angelegt (war in AGENTS.md als 'integriert'
beschrieben, fehlte aber).
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
518 B
518 B
Security
Sicherheitshinweise.
Bekannte Einschränkungen von web/serve.py
- PUT ohne Authentifizierung. Jeder Client im Netz kann Dateien unter
templates/überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben. - Keine Path-Traversal-Prüfung. Pfade wie
/templates/../foowerden nicht explizit blockiert. Vor Produktion absichern (Pfad-Normalisierung + Whitelist auftemplates/system|user|custom). - Kein HTTPS. Nur für lokale Entwicklung gedacht.
Stub — noch auszuarbeiten.