Sichere Cookies für TYPO3 konfigurieren
Schritt-für-Schritt: Cookie-Flags für fe_typo_user und be_typo_user in TYPO3 — Secure, HttpOnly und SameSite korrekt setzen.
Cookie-Sicherheit in TYPO3
Sichere Cookie-Konfiguration schützt Session-Daten vor Diebstahl durch XSS und CSRF-Angriffe. TYPO3 v13 setzt bereits sichere Defaults für fe_typo_user (Frontend) und be_typo_user (Backend). Mit 15 von 166 Punkten sind Cookies ein wichtiger Faktor im Wolf-Agents Web Security Check.
Seit TYPO3 v11 ist cookieSecure = 1 der Standard bei HTTPS-Verbindungen. Dennoch sollten Sie alle Cookie-Flags explizit in config/system/additional.php setzen, um sicherzustellen, dass die Konfiguration nicht von Extensions oder Updates überschrieben wird.
Cookie-Flags in additional.php konfigurieren
Setzen Sie alle Cookie-Flags zentral in config/system/additional.php. Diese Konfiguration gilt für alle TYPO3-eigenen Cookies — sowohl Frontend (fe_typo_user) als auch Backend (be_typo_user).
// config/system/additional.php
// Secure-Flag: Cookies nur über HTTPS senden
$GLOBALS['TYPO3_CONF_VARS']['SYS']['cookieSecure'] = 1;
// HttpOnly-Flag: Kein JavaScript-Zugriff auf Cookies
$GLOBALS['TYPO3_CONF_VARS']['SYS']['cookieHttpOnly'] = true;
// SameSite für Backend: Strict (kein Cross-Site nötig)
$GLOBALS['TYPO3_CONF_VARS']['BE']['cookieSameSite'] = 'strict';
// SameSite für Frontend: Lax (erlaubt Top-Level-Navigation)
$GLOBALS['TYPO3_CONF_VARS']['FE']['cookieSameSite'] = 'lax';Bei SameSite=Strict verliert der Browser die Session bei Cross-Site-Navigationen — z.B. wenn ein Nutzer von einer E-Mail oder einem externen Link auf Ihre Seite zurückkehrt. Lax erlaubt Top-Level-Navigationen und blockiert Cross-Site-POST.
Cookie-Konfiguration verifizieren
Öffnen Sie die Browser DevTools (F12) und navigieren Sie zu Application (Chrome) oder Storage (Firefox). Prüfen Sie die Cookie-Attribute für fe_typo_user und be_typo_user.
# Cache leeren
vendor/bin/typo3 cache:flush
# Set-Cookie Header prüfen
curl -sI https://ihre-domain.de | grep -i set-cookie
# Erwartete Flags: Secure; HttpOnly; SameSite=LaxHäufige Fehler und Extension-Cookies
TYPO3-Extensions können eigene Cookies setzen, die nicht von der globalen Konfiguration erfasst werden. Prüfen Sie alle Cookies in den DevTools und stellen Sie sicher, dass auch Extension-Cookies die korrekten Flags haben.
Extension-Cookies ohne Flags
Prüfen Sie Extensions wie EXT:felogin oder EXT:powermail — deren Cookies erben nicht automatisch die globale Konfiguration. Konfigurieren Sie Flags in der Extension-Konfiguration oder setzen Sie Cookie-Flags per .htaccess.
cookieSecure auf HTTP
Mit cookieSecure = 1 werden Cookies nur über HTTPS gesendet. Auf lokalen Entwicklungsumgebungen ohne HTTPS funktioniert der Login nicht. Setzen Sie cookieSecure = 0 nur in der lokalen Entwicklung.
SameSite und Payment-Provider
Payment-Provider mit POST-Redirect (3D Secure, PayPal) benötigen SameSite=Lax. Bei Strict geht die Session nach Rückkehr vom Payment-Provider verloren.
Doppelte Set-Cookie Header
Wenn Sie Cookie-Flags sowohl in PHP als auch per .htaccess setzen, können doppelte Header entstehen. Verwenden Sie nur eine Methode.
Compliance-Relevanz
DSGVO/GDPR fordert den Schutz personenbezogener Daten — Session-Cookies fallen darunter. Sichere Cookie-Flags (Secure, HttpOnly, SameSite) sind technische Schutzmaßnahmen nach Art. 32 DSGVO. Der Wolf-Agents Web Security Check prüft alle Cookie-Attribute und dokumentiert den Umsetzungsstand.
Wie steht Ihre Domain bei Sichere Cookies?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.