Typo3/Server Response On Static Files: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „'''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type…“ |
K Textersetzung - „z.B.“ durch „z. B. “ |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type ausliefert (z.B. ''text/html ''statt als ''text/plain''). | '''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z. B. "text.html.txt") im falschen MIME-Type ausliefert (z. B. ''text/html ''statt als ''text/plain''). | ||
Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z.B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können. | Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z. B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können. | ||
== Lösung == | == Lösung == | ||
| Zeile 23: | Zeile 23: | ||
</IfModule> | </IfModule> | ||
.htaccess-Datei im fileadmin-Ordner ergänzen | .htaccess-Datei im fileadmin-Ordner ergänzen | ||
<IfModule mod_headers.c> | <IfModule mod_headers.c> | ||
Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" | Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" | ||
</IfModule> | </IfModule> | ||
[[Kategorie:Typo3]] | |||
Aktuelle Version vom 19. Mai 2023, 15:59 Uhr
Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z. B. "text.html.txt") im falschen MIME-Type ausliefert (z. B. text/html statt als text/plain).
Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z. B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.
Lösung
.htaccess-Datei im Stammverzeichnis ergänzen
<IfModule mod_mime.c>
RemoveType .html .htm
<FilesMatch ".+\.html?$">
AddType text/html .html .htm
</FilesMatch>
RemoveType .svg .svgz
<FilesMatch ".+\.svgz?$">
AddType image/svg+xml .svg .svgz
</FilesMatch>
RemoveHandler .php
RemoveType .php
<FilesMatch ".+\.php$">
AddType application/x-httpd-php .php
SetHandler application/x-httpd-php
</FilesMatch>
</IfModule>
.htaccess-Datei im fileadmin-Ordner ergänzen
<IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" </IfModule>