feat: Phase 5 — Härtung (CSRF, Rate-Limit, Validation, Error Boundary, README)

Schritt 28 — CSRF-Schutz (Double Submit Cookie Pattern):
- server/middleware/csrf.js: generiert 32-Byte-Token, speichert in Session + Cookie;
  validiert X-CSRF-Token-Header auf POST/PUT/PATCH/DELETE via timingSafeEqual
- server/auth.js: CSRF-Token beim Login erzeugen und als Cookie setzen
- public/api.js: getCsrfToken() liest Cookie; apiFetch() sendet Header auf
  state-ändernden Requests automatisch

Schritt 29 — Globaler Rate-Limiter:
- server/index.js: apiLimiter (300 req/min/IP) auf allen /api/-Routen;
  ergänzt den bestehenden loginLimiter (5 req/min)

Schritt 27 — Zentralisierte Eingabe-Validierung:
- server/middleware/validate.js: str(), oneOf(), date(), time(), num(), color(),
  collectErrors() mit einheitlichen Längengrenzen (MAX_TITLE=200, MAX_TEXT=5000)
- server/routes/tasks.js: validateTaskInput() nutzt nun validate.js

Schritt 31 — Frontend Error Boundary:
- public/router.js: window.onerror + unhandledrejection-Handler zeigen Toast

Schritt 33 — README.md:
- Setup-Anleitung (Docker + Node.js), Nginx-Config, User-Verwaltung,
  Umgebungsvariablen-Referenz, Backup, Sicherheitsübersicht

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

server/index.js

@@ -7,11 +7,13 @@
 'use strict';
 
 require('dotenv').config();
-const express = require('express');
-const helmet = require('helmet');
-const path = require('path');
-const db = require('./db');
+const express    = require('express');
+const helmet     = require('helmet');
+const rateLimit  = require('express-rate-limit');
+const path       = require('path');
+const db         = require('./db');
 const { router: authRouter, sessionMiddleware, requireAuth } = require('./auth');
+const { csrfMiddleware } = require('./middleware/csrf');
 
 const app = express();
 const PORT = process.env.PORT || 3000;
@@ -72,13 +74,29 @@ app.use(express.static(path.join(__dirname, '..', 'public'), {
   etag: true,
 }));
 
+// --------------------------------------------------------
+// Globaler API-Rate-Limiter (Schritt 29)
+// Verhindert Brute-Force und DoS auf allen API-Endpunkten.
+// Login hat einen eigenen, strengeren Limiter (auth.js).
+// --------------------------------------------------------
+const apiLimiter = rateLimit({
+  windowMs: 60_000,         // 1 Minute
+  max: 300,                 // 300 Requests/Minute pro IP (großzügig für Familien-App)
+  standardHeaders: true,
+  legacyHeaders: false,
+  message: { error: 'Zu viele Anfragen. Bitte warte kurz.', code: 429 },
+  skip: (req) => req.path === '/health', // Health-Check ausgenommen
+});
+app.use('/api/', apiLimiter);
+
 // --------------------------------------------------------
 // API-Routen
 // --------------------------------------------------------
 app.use('/api/v1/auth', authRouter);
 
-// Alle weiteren API-Routen erfordern Authentifizierung
+// Alle weiteren API-Routen erfordern Authentifizierung + CSRF-Schutz
 app.use('/api/v1', requireAuth);
+app.use('/api/v1', csrfMiddleware);
 app.use('/api/v1/dashboard', require('./routes/dashboard'));
 app.use('/api/v1/tasks', require('./routes/tasks'));
 app.use('/api/v1/shopping', require('./routes/shopping'));