Typo3/Server Response On Static Files: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „'''Server Response on static files''' erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type…“ |
K →Lösung |
||
| Zeile 23: | Zeile 23: | ||
</IfModule> | </IfModule> | ||
.htaccess-Datei im fileadmin-Ordner ergänzen | .htaccess-Datei im fileadmin-Ordner ergänzen | ||
<IfModule mod_headers.c> | <IfModule mod_headers.c> | ||
Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" | Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" | ||
</IfModule> | </IfModule> | ||
Version vom 23. Juni 2021, 10:16 Uhr
Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type ausliefert (z.B. text/html statt als text/plain).
Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z.B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.
Lösung
.htaccess-Datei im Stammverzeichnis ergänzen
<IfModule mod_mime.c>
RemoveType .html .htm
<FilesMatch ".+\.html?$">
AddType text/html .html .htm
</FilesMatch>
RemoveType .svg .svgz
<FilesMatch ".+\.svgz?$">
AddType image/svg+xml .svg .svgz
</FilesMatch>
RemoveHandler .php
RemoveType .php
<FilesMatch ".+\.php$">
AddType application/x-httpd-php .php
SetHandler application/x-httpd-php
</FilesMatch>
</IfModule>
.htaccess-Datei im fileadmin-Ordner ergänzen
<IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';" </IfModule>