chore(web): cookie samesite=strict + nettoyage des références "Sprint X"

**1. Cookie de langue : ``samesite='strict'``**

``routers/system.py:set_lang`` posait le cookie de session avec
``samesite="lax"``. ``httponly=False`` est volontaire (le frontend
lit la valeur en JS pour adapter l'UI sans round-trip serveur),
mais aucun usage légitime ne demande que ce cookie soit envoyé
depuis une navigation cross-site. Resserré à ``samesite="strict"``
pour réduire la surface CSRF — sans coût UX.

**2. Nettoyage des références "Sprint X" en docstrings**

L'audit a relevé 36 occurrences de "Sprint 24/25/26/28" dans
``picarones/web/`` qui pollutent la documentation sans valeur
actionnable pour un futur mainteneur. Beaucoup étaient de simples
balises chronologiques ("Sprint 26 — émet une ligne…") qu'on peut
remplacer par la description directe ("Émet une ligne…"). Quelques
références à des décisions architecturales restent explicitement
(par ex. la persistance SQLite, les Last-Event-ID).

Modules nettoyés : ``state.py``, ``benchmark_utils.py``, ``app.py``,
``security.py``, ``routers/{corpus,config,history,benchmark,home}.py``.

Pytest : 3354 passed, 2 skipped, 0 failed. Ruff : All checks passed.

https://claude.ai/code/session_01Hsd7kL8yeCbXn1mA7GQK9L

picarones/web/app.py

@@ -60,7 +60,7 @@ _logger = logging.getLogger(__name__)
 async def _lifespan(app: FastAPI):
     """Hook de démarrage : marque les jobs orphelins comme ``interrupted``.
 
-    Sprint 26 — au démarrage d'un nouveau processus, tous les jobs
+    Au démarrage d'un nouveau processus, tous les jobs
     encore en statut ``pending`` ou ``running`` en base sont
     forcément orphelins (le processus précédent est mort sans les
     finir). On les bascule en ``interrupted`` pour ne pas laisser
@@ -98,7 +98,7 @@ app = FastAPI(
     lifespan=_lifespan,
 )
 
-# Sprint 24 — middleware CSP + en-têtes durcis (X-Frame-Options, etc.)
+# Middleware CSP + en-têtes durcis (X-Frame-Options, etc.)
 app.middleware("http")(csp_middleware)
 
 

picarones/web/benchmark_utils.py

@@ -3,7 +3,7 @@
 API publique
 ------------
 - ``sse_format`` : sérialisation d'un événement Server-Sent Events
-  avec ``Last-Event-ID`` (Sprint 26).
+  avec ``Last-Event-ID``.
 - ``run_benchmark_thread`` / ``run_benchmark_thread_v2`` : workers
   threadés qui exécutent le benchmark, émettent des événements SSE
   via le ``BenchmarkJob``, génèrent le rapport HTML final.
@@ -36,7 +36,7 @@ from picarones.web.state import BenchmarkJob, iso_now
 def sse_format(event_type: str, data: Any, seq: Optional[int] = None) -> str:
     """Format Server-Sent Events.
 
-    Sprint 26 — émet une ligne ``id: <seq>`` quand le ``seq`` est connu.
+    Émet une ligne ``id: <seq>`` quand le ``seq`` est connu.
     C'est la valeur que le navigateur renvoie automatiquement dans
     ``Last-Event-ID`` à la prochaine connexion (cf.
     https://html.spec.whatwg.org/multipage/server-sent-events.html).

picarones/web/routers/config.py

@@ -1,4 +1,4 @@
-"""Router de sauvegarde / chargement des configs utilisateur (Sprint 28)."""
+"""Router de sauvegarde / chargement des configs utilisateur."""
 
 from __future__ import annotations
 
@@ -20,7 +20,7 @@ router = APIRouter()
 async def api_config_save(payload: dict) -> Response:
     """Sérialise un dict de config en JSON téléchargeable.
 
-    Sprint 28 — supprime la friction *« reconfigurer chaque session »*.
+    Supprime la friction *« reconfigurer chaque session »*.
     Le client envoie sa config courante (engines, profil, options),
     le serveur retourne un fichier JSON à télécharger ; un autre
     utilisateur peut le réimporter via ``/api/config/load``.

picarones/web/routers/corpus.py

@@ -22,7 +22,7 @@ router = APIRouter()
 _logger = logging.getLogger(__name__)
 
 
-# Sprint 24 — racines configurables via PICARONES_BROWSE_ROOTS, sinon
+# Racines configurables via PICARONES_BROWSE_ROOTS, sinon
 # défaut restreint en mode public, défaut historique en mode dev.
 _BROWSE_ROOTS = compute_browse_roots(UPLOADS_DIR)
 
@@ -97,7 +97,7 @@ async def api_corpus_upload(files: list[UploadFile] = File(...)) -> dict:
         payloads: list[tuple[str, bytes]] = []
         for uf in files:
             filename = uf.filename or "upload"
-            # Sprint 24 — empêcher la traversée via le nom de fichier reçu
+            # Empêcher la traversée via le nom de fichier reçu
             # depuis le client (multipart). On garde uniquement le basename.
             safe_name = Path(filename).name
             data = await uf.read()
@@ -147,7 +147,7 @@ def _write_payloads_and_analyze(
             with zipfile.ZipFile(io.BytesIO(data)) as zf:
                 flatten_zip_to_dir(zf, corpus_dir)
         elif suffix in IMAGE_EXTS:
-            # Sprint 24 — valider l'image avant écriture (Pillow.verify,
+            # Valider l'image avant écriture (Pillow.verify,
             # taille max, rejet des bombes de décompression).
             validate_image_safe(data, filename=safe_name)
             (corpus_dir / safe_name).write_bytes(data)

picarones/web/routers/history.py

@@ -1,6 +1,6 @@
-"""Router des régressions détectées dans l'historique longitudinal (Sprint 28).
+"""Router des régressions détectées dans l'historique longitudinal.
 
-Surface de l'infrastructure ``BenchmarkHistory`` (Sprint 8) qui était
+Surface de l'infrastructure ``BenchmarkHistory`` qui était
 limitée au CLI ``picarones history --regression``. Le rapport HTML
 peut désormais consommer cet endpoint pour afficher un encart
 *« ⚠ Tesseract a régressé de 0,8 pp depuis le 12 janvier »* en tête.

picarones/web/routers/system.py

@@ -42,11 +42,16 @@ async def api_set_lang(lang_code: str, response: Response) -> dict:
                 f"Disponibles : {', '.join(SUPPORTED_LANGS)}"
             ),
         )
+    # ``httponly=False`` est volontaire : le frontend lit ce cookie en
+    # JS pour adapter l'UI sans round-trip serveur. ``samesite="strict"``
+    # car aucun usage légitime ne demande que ce cookie soit envoyé
+    # depuis une navigation cross-site — on resserre le cran qu'on
+    # peut sans casser l'UX.
     response.set_cookie(
         key=LANG_COOKIE,
         value=lang_code,
         max_age=60 * 60 * 24 * 365,  # 1 an
         httponly=False,
-        samesite="lax",
+        samesite="strict",
     )
     return {"lang": lang_code, "message": f"Langue définie : {lang_code}"}

picarones/web/security.py

@@ -1,4 +1,4 @@
-"""Garde-fous sécurité pour l'interface web (Sprint 24).
+"""Garde-fous sécurité pour l'interface web.
 
 Ce module centralise quatre durcissements pour rendre Picarones déployable
 sur un Space HuggingFace public ou un serveur d'institution sans donner

picarones/web/state.py

@@ -86,17 +86,17 @@ def enforce_rate_limit(request: Request) -> None:
 # ──────────────────────────────────────────────────────────────────────────
 
 RATE_LIMITER = RateLimiter(max_per_hour=get_rate_limit_per_hour())
-"""Rate limiter global (no-op si non public ou quota = 0). Sprint 24."""
+"""Rate limiter global (no-op si non public ou quota = 0)."""
 
 JOBS_SEMAPHORE = threading.Semaphore(get_max_concurrent_jobs())
-"""Sémaphore qui borne le nombre de benchmarks concurrents. Sprint 24."""
+"""Sémaphore qui borne le nombre de benchmarks concurrents."""
 
 JOB_STORE: JobStore = get_default_store()
-"""Store SQLite singleton injecté dans chaque ``BenchmarkJob``. Sprint 26."""
+"""Store SQLite singleton injecté dans chaque ``BenchmarkJob``."""
 
 
 # ──────────────────────────────────────────────────────────────────────────
-# Modèle de job (avec persistance Sprint 26)
+# Modèle de job (avec persistance SQLite)
 # ──────────────────────────────────────────────────────────────────────────
 
 @dataclass
@@ -107,7 +107,7 @@ class BenchmarkJob:
     un flux d'événements consommé via SSE. La persistance est gérée
     par un ``JobStore`` SQLite optionnel — si présent, chaque
     événement est sérialisé en base avant d'être diffusé aux abonnés
-    SSE, ce qui permet la reprise via ``Last-Event-ID`` (Sprint 26).
+    SSE, ce qui permet la reprise via ``Last-Event-ID``.
     """
 
     job_id: str
@@ -169,7 +169,7 @@ class BenchmarkJob:
                 )
 
     def set_status(self, status: str, error: str = "") -> None:
-        """Met à jour le statut + persiste vers le store (Sprint 26)."""
+        """Met à jour le statut + persiste vers le store."""
         self.status = status
         if error:
             self.error = error