Merge pull request #2896 from bunkerity/dev

Fix BunkerWeb build with 386 architecture

Author: TheophileDiot

.gitignore

@@ -20,3 +20,5 @@ src/ui/templates
 src/ui/builder
 src/ui/client/builder/*.json
 src/ui/client/builder/*.txt
+
+sync-fork.sh

CHANGELOG.md

@@ -8,6 +8,7 @@
 - [BUGFIX] Ensure HTTP/3 works with the HTTP3 plugin by adding conditional reuseport to QUIC listen directives on the default HTTPS server.
 - [FEATURE] Start monitoring `405` and `400` http status codes in the requests to be able to see them in the reports page.
 - [FEATURE] Refactored `Auth Basic` authentication implementation to enhance security and maintainability by switching password hashing to bcrypt.
+- [FEATURE] Implement content type restrictions and validation in HTTP requests via the new `ALLOWED_CONTENT_TYPES` setting in the `Miscellaneous` plugin (default: `application/x-www-form-urlencoded multipart/form-data text/xml application/xml application/soap+xml application/json application/reports+json application/csp-report`).
 - [UI] Update DataTable initialization to automatically enable state saving for improved user experience.
 - [LINUX] Support RHEL 9.7 instead of 9.6
 - [LINUX] Support RHEL 10.1 instead of 10.0

docs/de/features.md

@@ -3303,6 +3303,37 @@ Ob Sie HTTP-Methoden einschränken, Anforderungsgrößen verwalten, das Datei-Ca
         - **Überprüfen Sie regelmäßig die erlaubten Methoden:** Überprüfen Sie die `ALLOWED_METHODS`-Einstellung regelmäßig, um sicherzustellen, dass sie den aktuellen Anforderungen Ihrer Anwendung entspricht.
         - **Testen Sie gründlich vor der Bereitstellung:** Änderungen an den Einschränkungen von HTTP-Methoden können die Anwendungsfunktionalität beeinträchtigen. Validieren Sie Ihre Konfiguration in einer Staging-Umgebung, bevor Sie sie in der Produktion anwenden.
 
+=== "Inhaltstypen"
+
+    **Steuerung der Inhaltstypen**
+
+    Die Beschränkung der Inhaltstypen auf nur diejenigen, die von Ihrer Anwendung benötigt werden, ist eine wichtige Sicherheitsmaßnahme, die hilft, Ausnutzung durch unerwartete Inhaltstypen zu verhindern. Indem Sie explizit zulässige Inhaltstypen definieren, können Sie das Risiko von Angriffen minimieren, die auf unerwarteten oder bösartigen Content-Type-Headern beruhen.
+
+    Diese Funktion wird mit der Einstellung `ALLOWED_CONTENT_TYPES` konfiguriert, wobei die Inhaltstypen aufgelistet und durch Leerzeichen getrennt sind (Standard: `application/x-www-form-urlencoded multipart/form-data text/xml application/xml application/soap+xml application/json application/reports+json application/csp-report`). Wenn ein Client eine Anfrage mit einem nicht aufgelisteten Inhaltstyp sendet, antwortet der Server mit einem **415 - Unsupported Media Type**-Status.
+
+    Der Standardsatz von Inhaltstypen deckt gängige Anforderungen von Webanwendungen ab, einschließlich Formularübermittlungen, Datei-Uploads, XML/SOAP-Anfragen und JSON-APIs.
+
+    !!! success "Sicherheitsvorteile"
+        - Verhindert Ausnutzung durch unerwartete oder bösartige Inhaltstypen
+        - Reduziert die Angriffsfläche durch Ablehnung ungewöhnlicher Inhaltstypen
+        - Blockiert Angriffe durch Content-Type-Manipulation
+        - Bietet Defense-in-Depth zusammen mit ModSecurity-Regeln
+
+    | Einstellung             | Standard                                                                                                                                                               | Kontext   | Mehrfach | Beschreibung                                                                    |
+    | ----------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------- | -------- | ------------------------------------------------------------------------------- |
+    | `ALLOWED_CONTENT_TYPES` | `application/x-www-form-urlencoded multipart/form-data text/xml application/xml application/soap+xml application/json application/reports+json application/csp-report` | multisite | nein     | **Inhaltstypen:** Liste der erlaubten Inhaltstypen, getrennt durch Leerzeichen. |
+
+    !!! info "Content-Type-Prüfung"
+        - Die Content-Type-Prüfung gilt nur, wenn ein `Content-Type`-Header in der Anfrage vorhanden ist
+        - Der Basis-Inhaltstyp wird extrahiert (z.B. `application/json` aus `application/json; charset=utf-8`)
+        - GET- und HEAD-Anfragen enthalten normalerweise keinen Content-Type-Header und unterliegen daher nicht dieser Prüfung
+
+    !!! danger "Sicherheitsüberlegungen"
+        - **Überprüfen Sie die Anforderungen Ihrer Anwendung:** Stellen Sie sicher, dass die erlaubten Inhaltstypen den tatsächlichen Anforderungen Ihrer Anwendung entsprechen
+        - **Seien Sie vorsichtig mit ungewöhnlichen Typen:** Fügen Sie nur Inhaltstypen hinzu, die tatsächlich von Ihrer Anwendung benötigt werden
+        - **Testen Sie gründlich vor der Bereitstellung:** Änderungen an den Content-Type-Beschränkungen können die Anwendungsfunktionalität beeinträchtigen. Validieren Sie Ihre Konfiguration in einer Staging-Umgebung
+        - **Berücksichtigen Sie die ModSecurity-Integration:** Diese Prüfung arbeitet zusammen mit ModSecurity-Regeln für eine umfassende Content-Type-Validierung
+
 === "Größenbeschränkungen für Anfragen"
 
     **Größenbeschränkungen für Anfragen**
@@ -3465,6 +3496,20 @@ Ob Sie HTTP-Methoden einschränken, Anforderungsgrößen verwalten, das Datei-Ca
     ALLOWED_METHODS: "GET|POST|PUT|DELETE"
     ```
 
+=== "Inhaltstypen"
+
+    Beispielkonfiguration zur Beschränkung der Inhaltstypen nur auf JSON für eine API:
+
+    ```yaml
+    ALLOWED_CONTENT_TYPES: "application/json"
+    ```
+
+    Beispielkonfiguration für eine Standard-Webanwendung mit Datei-Uploads:
+
+    ```yaml
+    ALLOWED_CONTENT_TYPES: "application/x-www-form-urlencoded multipart/form-data application/json"
+    ```
+
 === "Größenbeschränkungen für Anfragen"
 
     Beispielkonfiguration zur Begrenzung der maximalen Größe des Anforderungskörpers: