wetter_station/frontend/nginx.conf

# Nginx-Konfiguration fuer das Frontend (Container).
# TLS wird von Traefik vorne dran terminiert; dieser Server lauscht nur auf HTTP intern.

# Nginx-Version aus Headern und Fehlerseiten raus
server_tokens off;

server {
    listen 80;
    server_name localhost;
    root /usr/share/nginx/html;
    index index.html;

    # Body-Limit (Frontend braucht keine grossen POSTs)
    client_max_body_size 1m;

    # Docker DNS resolver fuer dynamische Service-Aufloesung
    resolver 127.0.0.11 valid=30s;
    resolver_timeout 5s;

    # Gzip
    gzip on;
    gzip_vary on;
    gzip_min_length 1024;
    gzip_types
        text/plain
        text/css
        text/xml
        text/javascript
        application/x-javascript
        application/xml+rss
        application/json;

    # ----------------------------------------------------------------- #
    # Security-Header — gelten fuer alle Antworten dieses Servers.
    # 'always' sorgt dafuer, dass sie auch bei 4xx/5xx ausgeliefert werden.
    # ----------------------------------------------------------------- #

    # HSTS: ein Jahr, inkl. Subdomains. Wenn die Domain noch nicht zu 100%
    # auf HTTPS laeuft, kann der Wert auf "max-age=300" reduziert werden,
    # bis sicher ist, dass nichts mehr ueber HTTP geht. preload weglassen,
    # solange die Domain nicht in der Preload-Liste eingetragen werden soll.
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # MIME-Sniffing aus
    add_header X-Content-Type-Options "nosniff" always;

    # Clickjacking-Schutz: keine Einbettung als iframe

    # Referrer nur an gleiche Origin senden
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # Browser-APIs deaktivieren, die das Frontend nicht benoetigt
    add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()" always;

    # Content Security Policy — strict, keine externen Quellen
    # 'unsafe-inline' fuer style-src ist noetig, weil Highcharts inline-styles
    # fuer dynamische Diagramme setzt. script-src bleibt strikt.
    # TODO: http://test.sternwarte-welzheim.de entfernen, sobald der Test-Server
    #       auf HTTPS umgestellt ist. Drei Stellen: server-Block + zwei locations.
    add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; connect-src 'self'; frame-ancestors 'self' https://sternwarte-welzheim.de https://www.sternwarte-welzheim.de https://test.sternwarte-welzheim.de http://test.sternwarte-welzheim.de; base-uri 'self'; form-action 'self'; object-src 'none'" always;

    # ----------------------------------------------------------------- #
    # API-Proxy
    # ----------------------------------------------------------------- #
    location /api/ {
        set $upstream_api api:8000;
        proxy_pass http://$upstream_api/;
        proxy_http_version 1.1;

        # Standard-Header
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Timeouts: lieber sichtbar fehlschlagen als ewig haengen
        proxy_connect_timeout 5s;
        proxy_send_timeout    15s;
        proxy_read_timeout    15s;

        # Wenn das Upstream tot ist, sofort 502 statt Retry-Loops
        proxy_next_upstream off;

        # WebSockets/Upgrade-Pfad behalten, falls spaeter noch gebraucht
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
    }

    # ----------------------------------------------------------------- #
    # Statische Assets — lange Cache-Zeit, da mit Hash im Dateinamen
    # ----------------------------------------------------------------- #
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ {
        expires 1y;
        add_header Cache-Control "public, immutable" always;

        # nginx-Quirk: sobald ein add_header in einem location-Block steht,
        # werden ALLE add_header der server-Ebene ignoriert. Daher hier
        # alle Security-Header noch einmal explizit.
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header Referrer-Policy "strict-origin-when-cross-origin" always;
        add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()" always;
        add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; connect-src 'self'; frame-ancestors 'self' https://sternwarte-welzheim.de https://www.sternwarte-welzheim.de https://test.sternwarte-welzheim.de http://test.sternwarte-welzheim.de; base-uri 'self'; form-action 'self'; object-src 'none'" always;
    }

    # ----------------------------------------------------------------- #
    # Frontend-Routing (SPA)
    # ----------------------------------------------------------------- #
    location / {
        try_files $uri $uri/ /index.html;

        # index.html selbst nicht aggressiv cachen, sonst sehen Nutzer
        # nach einem Deploy alte Asset-Hashes
        add_header Cache-Control "no-cache" always;

        # Security-Header hier nochmal explizit (nginx-Quirk, s.o.)
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header Referrer-Policy "strict-origin-when-cross-origin" always;
        add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()" always;
        add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; connect-src 'self'; frame-ancestors 'self' https://sternwarte-welzheim.de https://www.sternwarte-welzheim.de https://test.sternwarte-welzheim.de http://test.sternwarte-welzheim.de; base-uri 'self'; form-action 'self'; object-src 'none'" always;
    }

    # Versteckte/Punktdateien blocken (z.B. .env, .git versehentlich im Build)
    location ~ /\. {
        deny all;
        access_log off;
        log_not_found off;
    }
}