Clear-Site-Data in Contao konfigurieren
Clear-Site-Data in Contao aktivieren — per Symfony EventSubscriber oder .htaccess. Mit Verifizierung und häufigen Fehlern.
Clear-Site-Data in Contao
Clear-Site-Data löscht Browser-Daten beim Logout. Im Wolf-Agents Web Security Check 3 von 166 Punkten.
In Contao setzen Sie Clear-Site-Data per EventSubscriber auf der Logout-Route — nicht global.
In Contao-Projekten werden Security-Header typischerweise auf drei Ebenen konfiguriert: in der
config/config.yaml fuer Symfony-Framework-Header, per EventSubscriber
fuer dynamische Header und in der public/.htaccess fuer Apache-Level-Header.
Fuer Clear-Site-Data empfehlen wir die Konfiguration per EventSubscriber, da dieser die meiste
Flexibilitaet bietet und nicht von der Webserver-Konfiguration abhaengt.
Nach jeder Aenderung an der Header-Konfiguration muessen Sie den Contao-Cache leeren:
vendor/bin/contao-console cache:clear. Ohne Cache-Clear werden Aenderungen an
der config.yaml oder an EventSubscribern nicht wirksam. In Produktionsumgebungen
verwenden Sie cache:clear --env=prod fuer den korrekten Cache-Kontext.
Clear-Site-Data-Implementierung in Contao
Der EventSubscriber ist der empfohlene Weg — unabhängig vom Webserver, überlebt Updates. Die .htaccess ist der schnelle Fallback.
<?php
// src/EventSubscriber/ClearSiteDataSubscriber.php
namespace AppEventSubscriber;
use SymfonyComponentEventDispatcherEventSubscriberInterface;
use SymfonyComponentHttpKernelEventResponseEvent;
use SymfonyComponentHttpKernelKernelEvents;
class ClearSiteDataSubscriber implements EventSubscriberInterface {
public static function getSubscribedEvents(): array {
return [KernelEvents::RESPONSE => ['onResponse', 0]];
}
public function onResponse(ResponseEvent $event): void {
$response = $event->getResponse();
$response->headers->set('Clear-Site-Data', '"cache", "cookies", "storage"');
// Nur beim Logout
if (str_contains($event->getRequest()->getPathInfo(), 'logout')) {
$response->headers->set('Clear-Site-Data', '"cache", "cookies", "storage"');
}
}
}# Clear-Site-Data nur per PHP/Plugin möglich (routenspezifisch)
# Nutzen Sie den EventSubscriber-Ansatz.Nach jeder Änderung: vendor/bin/contao-console cache:clear
Verifizierung
Nach der Konfiguration prüfen Sie den Header per curl. Testen Sie auf verschiedenen Seitentypen — Startseite, Detailseiten und Formulare.
# Cache leeren
vendor/bin/contao-console cache:clear
# Header prüfen
curl -sI https://ihre-domain.de | grep -i clear-site-data
# Erwartete Ausgabe:
# clear-site-data: "cache", "cookies", "storage"Häufige Fehler bei Clear-Site-Data in Contao
contao-console cache:clear vergessen
EventSubscriber-Änderungen erfordern Cache-Invalidierung.
Header auf allen Seiten statt nur Logout
Clear-Site-Data nur auf Logout-Routen setzen — sonst werden bei jedem Aufruf alle Daten gelöscht.
Browser-Support eingeschränkt
Safari-Support fehlt teilweise. Progressive Enhancement — kein Ersatz für serverseitiges Session-Management.
Compliance-Relevanz
Die korrekte Implementierung von Clear-Site-Data ist nicht nur eine technische Best Practice, sondern eine Anforderung, die bei Sicherheitsaudits und Penetrationstests regelmaessig geprueft wird. Fehlende oder falsch konfigurierte Header koennen zu Audit-Findings fuehren und die Zertifizierung gefaehrden.
Clear-Site-Data erfüllt Anforderungen aus mehreren Compliance-Frameworks.
Wie steht Ihre Domain bei Clear-Site-Data?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.