Typo3/Server Response On Static Files: Unterschied zwischen den Versionen

Aktuelle Version vom 28. April 2025, 10:46 Uhr

Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (beispielsweise "text.html.txt") im falschen MIME-Type ausliefert (beispielsweise text/html statt als text/plain).

Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (beispielsweise kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.

Lösung

.htaccess-Datei im Stammverzeichnis ergänzen

<IfModule mod_mime.c>
   RemoveType .html .htm
   <FilesMatch ".+\.html?$">
      AddType text/html     .html .htm
   </FilesMatch>
   RemoveType .svg .svgz
   <FilesMatch ".+\.svgz?$">
       AddType image/svg+xml .svg .svgz
   </FilesMatch>
   RemoveHandler .php
   RemoveType .php
   <FilesMatch ".+\.php$">
       AddType application/x-httpd-php .php
       SetHandler application/x-httpd-php
   </FilesMatch>
</IfModule>

.htaccess-Datei im fileadmin-Ordner ergänzen

<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';"
</IfModule>

@@ Zeile 1: / Zeile 1: @@
-'''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type ausliefert (z.B. ''text/html ''statt als ''text/plain'').
+'''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (beispielsweise  "text.html.txt") im falschen MIME-Type ausliefert (beispielsweise  ''text/html ''statt als ''text/plain'').
-Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z.B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.
+Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (beispielsweise  kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.
 == Lösung  ==