X-Content-Type-Options in Contao konfigurieren
X-Content-Type-Options in Contao aktivieren — per Symfony EventSubscriber oder .htaccess. Mit Verifizierung und häufigen Fehlern.
X-Content-Type-Options in Contao
X-Content-Type-Options: nosniff verhindert MIME-Type-Sniffing. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check ein einfacher aber wichtiger Schutz.
In Contao setzen Sie X-Content-Type-Options über einen Symfony EventSubscriber — eine einzige Zeile Code.
In Contao-Projekten werden Security-Header typischerweise auf drei Ebenen konfiguriert: in der
config/config.yaml fuer Symfony-Framework-Header, per EventSubscriber
fuer dynamische Header und in der public/.htaccess fuer Apache-Level-Header.
Fuer MIME-Sniffing-Schutz empfehlen wir die Konfiguration per EventSubscriber, da dieser die meiste
Flexibilitaet bietet und nicht von der Webserver-Konfiguration abhaengt.
Nach jeder Aenderung an der Header-Konfiguration muessen Sie den Contao-Cache leeren:
vendor/bin/contao-console cache:clear. Ohne Cache-Clear werden Aenderungen an
der config.yaml oder an EventSubscribern nicht wirksam. In Produktionsumgebungen
verwenden Sie cache:clear --env=prod fuer den korrekten Cache-Kontext.
X-Content-Type-Options-Implementierung in Contao
Der EventSubscriber ist der empfohlene Weg — unabhängig vom Webserver, überlebt Updates. Die .htaccess ist der schnelle Fallback.
<?php
// src/EventSubscriber/ContentTypeOptionsSubscriber.php
namespace AppEventSubscriber;
use SymfonyComponentEventDispatcherEventSubscriberInterface;
use SymfonyComponentHttpKernelEventResponseEvent;
use SymfonyComponentHttpKernelKernelEvents;
class ContentTypeOptionsSubscriber implements EventSubscriberInterface {
public static function getSubscribedEvents(): array {
return [KernelEvents::RESPONSE => ['onResponse', 0]];
}
public function onResponse(ResponseEvent $event): void {
$response = $event->getResponse();
$response->headers->set('X-Content-Type-Options', 'nosniff');
}
}# public/.htaccess — X-Content-Type-Options
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>Nach jeder Änderung: vendor/bin/contao-console cache:clear
Verifizierung
Nach der Konfiguration prüfen Sie den Header per curl. Testen Sie auf verschiedenen Seitentypen — Startseite, Detailseiten und Formulare.
# Cache leeren
vendor/bin/contao-console cache:clear
# Header prüfen
curl -sI https://ihre-domain.de | grep -i x-content-type-options
# Erwartete Ausgabe:
# x-content-type-options: nosniffHäufige Fehler bei X-Content-Type-Options in Contao
contao-console cache:clear vergessen
Änderungen erfordern vendor/bin/contao-console cache:clear.
Dateien mit falschem Content-Type
Mit nosniff muss der Server korrekte MIME-Types liefern. Prüfen Sie Contaos File Manager.
Insert-Tags mit externen Ressourcen blockiert
Externe Ressourcen ohne korrekten Content-Type werden blockiert. CDN-Assets müssen den richtigen MIME-Type liefern.
Compliance-Relevanz
Die korrekte Implementierung von MIME-Sniffing-Schutz ist nicht nur eine technische Best Practice, sondern eine Anforderung, die bei Sicherheitsaudits und Penetrationstests regelmaessig geprueft wird. Fehlende oder falsch konfigurierte Header koennen zu Audit-Findings fuehren und die Zertifizierung gefaehrden.
X-Content-Type-Options erfüllt Anforderungen aus mehreren Compliance-Frameworks.
Wie steht Ihre Domain bei X-Content-Type-Options?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.