TYPO3 und Content Security Policy

Content Security Policy, bestimmt welche Inhalte woher vom Browser auf eine Webseite geladen werden kann.

Typoscript - Header

#Typoscript ab Version TYPO3 7
page.config.additionalHeaders {
  10.header = strict-transport-security:max-age=31536000
  20.header = X-Frame-Options:SAMEORIGIN
  30.header = X-Xss-Protection: 1; mode=block
  40.header = X-Content-Type-Options: nosniff
  50.header = Referrer-Policy:strict-origin
}

Weiterführende Links finden Sie hier, bitte Informieren Sie sich hier für weiter Informationen. Falsche Einstellungen der Content Security Anweisungen kann zu einem Fehlverhalten der Website führen, insbesondere beim Einsatz von IFrames.

OWASP Secure Headers Project > OWASP Project Security Headers

Zudem gibt es im TYPO3 Extension Repository eine Extension (CSP: Content Security Policy ), diese erzeugt den Content-Security-Policy Response Header basierend auf dem Inhalt der Seite.

Download TYPO3:
extensions.typo3.org/extension/csp/