TYPO3/Improve security/ru

Защита от межсайтового скриптинга (cross site scripting — XSS)
Современные браузеры могут подсказать о возможности выполнения стороннего сценария Javascript. Такая технологи называется "политика защиты контента" и может быть задействована пересылкой соответствующих заголовков HTTP. В TYPO3 это можно настроить одним оператором TypoScript:

config.additionalHeaders = Content-Security-Policy: default-src 'self'; style-src 'self' 'unsafe-inline' | X-Content-Security-Policy: default-src 'self'; style-src 'self' 'unsafe-inline' | X-Webkit-CSP: default-src 'self'; style-src 'self' 'unsafe-inline'

Это должна быть одна строка в шаблоне настройки, который должен находиться на корневой странице. Она говорит браузеру доверять содержимому (Javascript, CSS, изображения и тому подобное) только с текущего сервера, а также встроенные CSS декларации (необходимые для отображения изображений товаров в виде масштабируемого фона).

Замечание: если используется другой домен для статического содержимого, необходимо добавить этот домен в операторы "default-src" и "style-src" (без апострофов в этом случае).