Typo3/Server Response On Static Files

Aus Foxwiki

Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z. B.  "text.html.txt") im falschen MIME-Type ausliefert (z. B.  text/html statt als text/plain).

Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z. B.  kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.

Lösung

.htaccess-Datei im Stammverzeichnis ergänzen 

<IfModule mod_mime.c>
   RemoveType .html .htm
   <FilesMatch ".+\.html?$">
      AddType text/html     .html .htm
   </FilesMatch>
   RemoveType .svg .svgz
   <FilesMatch ".+\.svgz?$">
       AddType image/svg+xml .svg .svgz
   </FilesMatch>
   RemoveHandler .php
   RemoveType .php
   <FilesMatch ".+\.php$">
       AddType application/x-httpd-php .php
       SetHandler application/x-httpd-php
   </FilesMatch>
</IfModule>

.htaccess-Datei im fileadmin-Ordner ergänzen 

<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';"
</IfModule>
Abgerufen von „https://wiki.foxtom.de/index.php?title=Typo3/Server_Response_On_Static_Files&oldid=69868