security.txt für Laravel konfigurieren
Schritt-für-Schritt-Anleitung: security.txt in Laravel einrichten — statische Datei oder Route, mit Best Practices für RFC 9116.
security.txt in Laravel
security.txt ist eine standardisierte Kontaktdatei für Sicherheitsforscher (RFC 9116). Sie wird unter /.well-known/security.txt bereitgestellt und enthält Kontaktinformationen für die Meldung von Sicherheitslücken. Mit 2 von 166 Punkten im Web Security Check.
In Laravel gibt es zwei Wege: eine statische Datei in public/.well-known/ (empfohlen) oder eine Route für dynamische Inhalte. Laravels Standard-Konfiguration liefert Dateien aus dem public/-Verzeichnis direkt aus.
security.txt erstellen
Die einfachste Methode: Erstellen Sie eine statische Datei unter public/.well-known/security.txt. Laravels Webserver liefert Dateien aus dem public/-Verzeichnis direkt aus.
# Erstellen Sie: public/.well-known/security.txt
Contact: mailto:security@ihre-domain.de
Expires: 2027-01-01T23:59:59.000Z
Preferred-Languages: de, enAlternativ können Sie eine Route für dynamische Inhalte definieren:
// routes/web.php
Route::get('/.well-known/security.txt', function () {
return response(
"Contact: mailto:security@ihre-domain.de\n" .
"Expires: 2027-01-01T23:59:59.000Z\n" .
"Preferred-Languages: de, en\n",
200,
['Content-Type' => 'text/plain; charset=utf-8']
);
});Konfiguration verifizieren
Rufen Sie https://ihre-domain.de/.well-known/security.txt im Browser auf oder prüfen Sie mit curl.
Häufige Fehler
Expires-Datum vergessen
RFC 9116 fordert ein Expires-Feld. Setzen Sie es auf maximal 1 Jahr in der Zukunft und erneuern Sie die Datei regelmäßig.
Nginx blockiert .well-known
Manche Nginx-Konfigurationen blockieren den Zugriff auf Punkt-Verzeichnisse. Fügen Sie eine Location-Regel hinzu: location /.well-known/ { allow all; }.
Compliance-Relevanz
Wie steht Ihre Domain bei security.txt?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.