security: round 3 hardening (CSRF double-submit, TRX MITM, container hardening)

apps/api/src/config/env.ts

@@ -31,11 +31,26 @@ export let env = {
     jwtKidPath: p.VAULT_JWT_KID_PATH || 'jwt/kid',
     jwtKidsPrefix: p.VAULT_JWT_KIDS_PREFIX || 'jwt/kids',
     csrfPath: p.VAULT_CSRF_PATH || '',
+    cryptoKeyPath: p.VAULT_CRYPTO_KEY_PATH || 'crypto/master',
   },
   cors: {
-    // No default — каждый деплой явно указывает CORS_ORIGINS, иначе пустой массив = нет cross-origin доступа.
-    origins: (p.CORS_ORIGINS || '').split(',').map((o) => o.trim()).filter(Boolean),
-    allowCredentials: p.CORS_ALLOW_CREDENTIALS !== 'false',
+    // Каждый деплой явно указывает CORS_ORIGINS, иначе пустой массив = нет cross-origin.
+    // Validate каждый origin через URL parse — отклоняем мусор. Default https-only для prod-safety.
+    origins: (p.CORS_ORIGINS || '')
+      .split(',')
+      .map((o) => o.trim())
+      .filter(Boolean)
+      .filter((o) => {
+        try {
+          const u = new URL(o);
+          return u.protocol === 'https:' || u.protocol === 'http:';
+        } catch {
+          return false;
+        }
+      }),
+    // Default = false (fail-secure). Чтобы включить credentials cross-origin —
+    // ОБЯЗАТЕЛЬНО явный CORS_ALLOW_CREDENTIALS=true.
+    allowCredentials: p.CORS_ALLOW_CREDENTIALS === 'true',
   },
   port: parseInt(p.API_PORT || '3001'),
   relayApiKey: p.RELAY_API_KEY || null,