From 38163cebc298cdcb904a4a950c73f042d54d0f6f Mon Sep 17 00:00:00 2001 From: DanielS Date: Tue, 7 Jul 2026 01:02:36 +0200 Subject: [PATCH] feat: add security-hardening-privacy skill and remove generator tag --- .agents/skills/security-hardening-privacy/SKILL.md | 12 ++++++++++++ src/layouts/Layout.astro | 1 - 2 files changed, 12 insertions(+), 1 deletion(-) create mode 100644 .agents/skills/security-hardening-privacy/SKILL.md diff --git a/.agents/skills/security-hardening-privacy/SKILL.md b/.agents/skills/security-hardening-privacy/SKILL.md new file mode 100644 index 0000000..61ce89f --- /dev/null +++ b/.agents/skills/security-hardening-privacy/SKILL.md @@ -0,0 +1,12 @@ +--- +name: security-hardening-privacy +description: Eliminiert digitale Fingerabdrücke (Information Disclosure), härtet den Code gegen gängige Web-Schwachstellen ab und sorgt für DSGVO-konformen Datenschutz. +--- + +# Security Hardening & Privacy Guidelines + +* **Anti-Fingerprinting (Tarnung):** Automatisches Entfernen von Meta-Tags, die Rückschlüsse auf das System zulassen (z.B. den `` Tag komplett löschen oder deaktivieren). +* **Sichere HTTP-Header & Konfiguration:** Generierung von Konfigurationen (z.B. für .htaccess, Nginx oder Hosting-Plattformen), die X-Powered-By-Header entfernen und strikte Security-Header setzen (Content Security Policy [CSP], X-Frame-Options: DENY, X-Content-Type-Options: nosniff). +* **DSGVO-Konformität (Zero-Third-Party):** Keine dynamischen Abrufe von externen Servern (z.B. Google Fonts). Alle Schriftarten, Icons und Skripte werden lokal auf dem deutschen Server gehostet. IP-Adressen von Nutzern dürfen niemals ungefragt an Drittstaaten-Server (USA) abfließen. +* **Formular-Absicherung:** Jedes Kontaktformular muss serverseitig validiert werden. Eingabefelder müssen gegen Cross-Site Scripting (XSS) und SQL-Injections geschützt sein (Sanitizing von User-Input). Integration von barrierefreien, unsichtbaren Honeypot-Feldern zur Spam-Abwehr statt nerviger Google-ReCaptchas. +* **Fehlermeldungen verbergen:** Im produktiven Code dürfen niemals detaillierte System-Fehlermeldungen oder Stack-Traces für den Endnutzer sichtbar sein, da diese Pfade und Server-Strukturen verraten. diff --git a/src/layouts/Layout.astro b/src/layouts/Layout.astro index 70fcb54..3d5f20b 100644 --- a/src/layouts/Layout.astro +++ b/src/layouts/Layout.astro @@ -14,7 +14,6 @@ const { title, description = "Professionelles Webdesign & moderne Websites für - {title}