Update: 2026-06-16 01:17:28

2026-06-16 01:17:29 +03:00
parent 04943e3d52
commit fc58529b09
56 changed files with 1149 additions and 1314 deletions
--- a/backend/core/bootstrap.php
+++ b/backend/core/bootstrap.php
@@ -8,7 +8,7 @@ declare(strict_types=1);

 // 1. إعدادات الأخطاء والـ Headers الأساسية
 // اجعل القيمة true لتفعيل عرض الأخطاء (التطوير)، أو false لإخفائها (التشغيل الفعلي)
-$debugMode = true;
+$debugMode = getenv('APP_DEBUG') === 'true';

 if ($debugMode) {
    error_reporting(E_ALL);
@@ -26,10 +26,16 @@ if (!file_exists(dirname($logPath)) || !is_writable(dirname($logPath))) {
 }
 ini_set('error_log', $logPath);

+header_remove('X-Powered-By');
 header('Content-Type: application/json; charset=UTF-8');
 header('X-Content-Type-Options: nosniff');
 header('X-Frame-Options: DENY');
 header('Strict-Transport-Security: max-age=31536000; includeSubDomains');
+header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'none'");
+header("Referrer-Policy: strict-origin-when-cross-origin");
+header("Permissions-Policy: geolocation=(), microphone=(), camera=()");
+header("X-XSS-Protection: 1; mode=block");
+

 // CORS (يجب تخصيصه في endpoints مخصصة إن لزم، لكن هذا افتراضي)
 header('Access-Control-Allow-Methods: POST, GET, OPTIONS');