Weiterführende Links finden Sie hier, bitte Informieren Sie sich hier für weiter Informationen. Falsche Einstellungen der Content Security Anweisungen kann zu einem Fehlverhalten der Website führen, insbesondere beim Einsatz von IFrames.

OWASP Secure Headers Project > OWASP Project Security Headers

Der Artikel ist veraltet, wir empfehlen die Extension "https://extensions.typo3.org/extension/ls_security_headers" für die TYPO3 Version 11 bis 12 zu nutzen.

Ab Version TYPO3 12 auch ohne Extension:
TYPO3 12 jetzt mit Content Security Policies Tool im Backend!
Als Enterprise CMS haben Sicherheit und Stabilität höchste Priorität. Die neue Version unterstützt nun Content Security Policy (SCP) sowohl im Frontend als auch im Backend. Zu diesem Zweck gibt es in den Admin-Tools der TYP3 Version 12 ein neues Admin-Tool das im System Core integriert ist. 

Noch eine Variante für TYPO3 v10 bis v13:
Diese Erweiterung ermöglicht das Hinzufügen von Antwortheadern auf Site-Basis ohne Verwendung von TypoScript.

Wenn Sie nur einen Satz von Antwortheadern haben, den Ihre TYPO3-Websites senden sollen, ist es möglicherweise eine gute Idee, die Header direkt in Ihrem Webserver zu konfigurieren. Es kann jedoch erforderlich sein, dass verschiedene Websites innerhalb desselben TYPO3-Systems unterschiedliche Header senden müssen. In einem solchen Fall bietet diese Erweiterung die Möglichkeit, response Header in der Site-Konfiguration zu konfigurieren.
https://github.com/b13/hydra/tree/1.3.0?tab=readme-ov-file

 

 

###################################################
#### Typoscript ab Version TYPO3 7 bis TYPO3 10 ###
###################################################
page.config.additionalHeaders {
  10.header = strict-transport-security:max-age=31536000
  20.header = X-Frame-Options:SAMEORIGIN
  30.header = X-Xss-Protection: 1; mode=block
  40.header = X-Content-Type-Options: nosniff
  50.header = Referrer-Policy:strict-origin
}