[SECURITY] Jadikan Content Security Policy (CSP) Selalu Aktif, Tidak Boleh Auto-Disable Walau di Debug/Dev

### Masalah
Saat ini CSP (Content Security Policy) otomatis disable jika `APP_DEBUG` aktif. Ini artinya di dev/staging environment, aplikasi tidak terlindungi dari inline JS, eval, dsb.

### Dampak
- Membuka potensi abuse, XSS dan script hijacking di environment dev
- Membiasakan test/dev tanpa protection, meningkatkan resiko deploy ke production tanpa policy

### Langkah Penyelesaian
1. Ubah policy agar CSP tetap aktif, sekalipun debug mode on; jika perlu buat lebih permissive di dev
2. Tes CSP enforcement di setiap mode

#### Contoh Perbaikan
```php
// CSP tetap aktif, khusus dev lebih permissive bukan dimatikan
```

### Setelah Perbaikan
- Confirm CSP header keluar di response setiap mode aplikasi, except test/manual override.


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[SECURITY] Jadikan Content Security Policy (CSP) Selalu Aktif, Tidak Boleh Auto-Disable Walau di Debug/Dev #968

Masalah

Dampak

Langkah Penyelesaian

Contoh Perbaikan

Setelah Perbaikan

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

[SECURITY] Jadikan Content Security Policy (CSP) Selalu Aktif, Tidak Boleh Auto-Disable Walau di Debug/Dev #968

Description

Masalah

Dampak

Langkah Penyelesaian

Contoh Perbaikan

Setelah Perbaikan

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions