Typo3/Server Response On Static Files

Server Response on static files erscheint in den Report, wenn der Server Dateien mit mehreren Erweiterungen (z.B. "text.html.txt") im falschen MIME-Type ausliefert (z.B. text/html statt als text/plain).

Dies ist eine Sicherheitslücke, da Redakteure so den Uploadfilter (z.B. kein Upload von .html-Dateien im fileadmin-Verzeichnis) umgehen können.

Lösung

.htaccess-Datei im Stammverzeichnis ergänzen

<IfModule mod_mime.c>
   RemoveType .html .htm
   <FilesMatch ".+\.html?$">
      AddType text/html     .html .htm
   </FilesMatch>
   RemoveType .svg .svgz
   <FilesMatch ".+\.svgz?$">
       AddType image/svg+xml .svg .svgz
   </FilesMatch>
   RemoveHandler .php
   RemoveType .php
   <FilesMatch ".+\.php$">
       AddType application/x-httpd-php .php
       SetHandler application/x-httpd-php
   </FilesMatch>
</IfModule>

.htaccess-Datei im fileadmin-Ordner ergänzen

<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'self'; script-src 'none'; style-src 'none'; object-src 'none';"
</IfModule>