fix: HSTS/CSP für lokale HTTP-Entwicklung deaktivieren + SW-Cache v10

- helmet: upgrade-insecure-requests und HSTS nur bei SESSION_SECURE=true
- Service Worker Cache-Version auf v10 hochgezählt
- Debug-Code aus router.js entfernt

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

server/index.js

@@ -30,6 +30,7 @@ const PORT = process.env.PORT || 3000;
 // --------------------------------------------------------
 // Security-Middleware
 // --------------------------------------------------------
+const isSecure = process.env.SESSION_SECURE !== 'false';
 app.use(helmet({
   contentSecurityPolicy: {
     directives: {
@@ -45,13 +46,16 @@ app.use(helmet({
       fontSrc: ["'self'"],
       objectSrc: ["'none'"],
       frameSrc: ["'none'"],
+      // upgrade-insecure-requests nur mit HTTPS aktivieren
+      upgradeInsecureRequests: isSecure ? [] : null,
     },
   },
-  hsts: {
+  // HSTS nur mit HTTPS aktivieren
+  hsts: isSecure ? {
     maxAge: 31536000,
     includeSubDomains: true,
     preload: true,
-  },
+  } : false,
 }));
 
 // Trust Proxy für korrekte IP hinter Nginx