TYPO3 — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header in TYPO3. PSR-15 Middleware, csp.yaml und TypoScript-Konfigurationen — von HSTS in 5 Minuten bis CSP mit Nonces.
Security Headers in TYPO3 — drei Konfigurationswege
TYPO3 bietet als Enterprise-CMS drei Wege zur Header-Konfiguration: TypoScript
über config.additionalHeaders für schnelle Anpassungen, die native
csp.yaml (ab v12.3) für die Content Security Policy mit automatischen Nonces,
und PSR-15 Middleware für maximale Kontrolle über alle HTTP-Response-Header.
TYPO3 v13 setzt bereits einige Header im Backend automatisch (X-Content-Type-Options,
Referrer-Policy, X-Frame-Options). Im Frontend müssen Sie alle
Security Header manuell konfigurieren. Unsere Anleitungen decken beide Bereiche ab.
Wichtig: Viele TYPO3-Installationen laufen auf Shared Hosting mit Apache. In
diesem Fall ist die .htaccess ein zusätzlicher Konfigurationsweg. Unsere Anleitungen
zeigen immer auch den .htaccess-Fallback für Shared-Hosting-Umgebungen.
TYPO3-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit TYPO3-spezifischen Konfigurationen für csp.yaml, TypoScript und PSR-15 Middleware. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers über PSR-15 Middleware und csp.yaml — konsolidierte Architektur für TYPO3 v12+.
Content Security Policy (CSP)
XSS-Schutz mit nativem csp.yaml (ab v12.3) oder TypoScript config.additionalHeaders für ältere Versionen.
HTTP Strict Transport Security
HTTPS erzwingen per TypoScript config.additionalHeaders — inklusive Preload und lockSSL-Integration.
Sichere Cookie-Konfiguration
cookieSecure, cookieHttpOnly und SameSite in config/system/additional.php für fe_typo_user und be_typo_user.
Permissions Policy
Browser-APIs einschränken per TypoScript oder PSR-15 Middleware — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors — Backend automatisch geschützt, Frontend manuell konfigurieren.
Referrer-Policy
Referrer-Informationen kontrollieren per TypoScript — Backend ab v13 automatisch, Frontend manuell.
X-Content-Type-Options
MIME-Sniffing verhindern per TypoScript — Backend ab v13 automatisch, Frontend manuell konfigurieren.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — TypoScript-Konfiguration mit Extension-Kompatibilität.
Subresource Integrity
Hash-Prüfung externer Scripts in Fluid Templates — manuell oder über Build-Pipeline.
security.txt
Kontaktdatei unter .well-known/ mit RewriteRule-Ausnahme für TYPO3s .htaccess-Routing.
TLS & Zertifikate
TLS-Konfiguration auf Server-Ebene — Site Configuration mit HTTPS-Base und lockSSL.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per TypoScript — Kompatibilität mit EXT:staticfilecache beachten.
Reporting API
Report-To und Reporting-Endpoints per TypoScript — plus natives CSP-Reporting über csp.yaml.
Clear-Site-Data
Browser-Daten beim Logout löschen über PSR-7 Response in der Logout-Action.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects, Resource Isolation Policy und X-DNS-Prefetch-Control.
In 3 Schritten zur sicheren TYPO3-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
PSR-15 Middleware anlegen
Erstellen Sie eine zentrale SecurityHeaders-Middleware in Ihrem Site Package. Diese setzt HSTS, X-Content-Type-Options und Referrer-Policy in einer Datei — sauberer als einzelne TypoScript-Einträge.
CSP über csp.yaml
Die Content Security Policy konfigurieren
Sie ab TYPO3 v12.3 nativ über config/sites/[site]/csp.yaml — inklusive
automatischer Nonce-Generierung. Unsere Anleitung führt Sie Schritt für Schritt.
Nicht TYPO3? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in TYPO3?
Es gibt drei Wege: Per TypoScript config.additionalHeaders für einfache Header, über config/sites/[site]/csp.yaml für die Content Security Policy (ab TYPO3 v12.3), oder per PSR-15 Middleware für maximale Kontrolle. Die Middleware ist die sauberste Lösung für alle Header außer CSP.
Unterstützt TYPO3 CSP-Nonces nativ?
Ja, seit TYPO3 v12.3. In der csp.yaml verwenden Sie nonce-proxy als Source — TYPO3 generiert automatisch pro Request einen Nonce und ersetzt ihn in Fluid-Templates. Für ältere TYPO3-Versionen setzen Sie CSP per TypoScript config.additionalHeaders ohne Nonces.
Warum funktionieren meine TypoScript-Header nicht mit staticfilecache?
EXT:staticfilecache liefert gecachte Seiten als statische HTML-Dateien direkt über den Webserver aus — ohne TYPO3 zu laden. TypoScript-basierte Header werden nicht gesetzt. Lösung: Header in der .htaccess oder in der Webserver-Konfiguration (Apache/Nginx) setzen.
Welche TYPO3-Version brauche ich für moderne Security Headers?
TYPO3 v12.3+ bietet natives CSP-Management mit csp.yaml. TYPO3 v13 setzt einige Header (X-Content-Type-Options, Referrer-Policy) im Backend automatisch. Für das Frontend müssen Sie alle Header manuell konfigurieren — unabhängig von der Version.
Kann ich Security Headers auf Shared Hosting mit TYPO3 setzen?
Ja. Auf Shared Hosting ohne Zugriff auf die Server-Konfiguration nutzen Sie die .htaccess-Datei mit mod_headers. Alternativ setzen Sie Header per TypoScript oder PSR-15 Middleware — diese Methoden funktionieren unabhängig vom Hosting-Anbieter.