Typo3/Server Response On Static Files: Unterschied zwischen den Versionen

Versionsgeschichte interaktiv durchsuchen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 13. Juni 2022, 04:07 Uhr

Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type ausliefert (z.B. text/html statt als text/plain).

Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z.B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.

Lösung

.htaccess-Datei im Stammverzeichnis ergänzen

<IfModule mod_mime.c>
   RemoveType .html .htm
   <FilesMatch ".+\.html?$">
      AddType text/html     .html .htm
   </FilesMatch>
   RemoveType .svg .svgz
   <FilesMatch ".+\.svgz?$">
       AddType image/svg+xml .svg .svgz
   </FilesMatch>
   RemoveHandler .php
   RemoveType .php
   <FilesMatch ".+\.php$">
       AddType application/x-httpd-php .php
       SetHandler application/x-httpd-php
   </FilesMatch>
</IfModule>

.htaccess-Datei im fileadmin-Ordner ergänzen

<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';"
</IfModule>

Version vom 29. Dezember 2021, 16:33 Uhr Quelltext anzeigen Dirkwagner (Diskussion \| Beiträge) Bürokraten, Oberflächenadministratoren, Administratoren 127.905 Bearbeitungen KKeine Bearbeitungszusammenfassung ← Zum vorherigen Versionsunterschied		Version vom 13. Juni 2022, 04:07 Uhr Quelltext anzeigen Dirkwagner (Diskussion \| Beiträge) Bürokraten, Oberflächenadministratoren, Administratoren 127.905 Bearbeitungen K Textersetzung - „Category:“ durch „Kategorie:“ Zum nächsten Versionsunterschied →
Zeile 28:		Zeile 28:
	</IfModule>		</IfModule>

	[[~~Category~~:Typo3]]		[[Kategorie:Typo3]]