TYPO3/Improve security/de

Vor Cross Site Scripting schützen (XSS)
Moderne Browser können dazu angehalten werden, ein durch einen Angreifer eingeschleusten Javascript-Code nicht auszuführen. Diese Technik wird "Content Security Policy" genannt und kann durch das Senden von passenden HTTP Headern aktiviert werden. In TYPO3 kann das durch eine einzelne TypoScript Anweisung erfolgen:

config.additionalHeaders = Content-Security-Policy: default-src 'self'; style-src 'self' 'unsafe-inline' | X-Content-Security-Policy: default-src 'self'; style-src 'self' 'unsafe-inline' | X-Webkit-CSP: default-src 'self'; style-src 'self' 'unsafe-inline'

Die Anweistung muss in eine Zeile der Seitenkonfiguration geschrieben werden, am besten in die der Hauptseite. Sie teilt dem Browser mit, dass nur Inhalte (Javascript, CSS, Bilder, etc.) vom eigenen Server und eingebettete CSS Anweisungen erlaubt sind. Letzteres ist für die Darstellung der Produktbilder als sklierbare Hintergrundbilder notwendig.

Hinweis: Wenn eine andere Domain für statischen Inhalt genutzt wird, dann muss diese Domain in die "default-src" und "style-src" Anwweisung mit eingefügt werden (ohne die Anführungszeichen).