X-Content-Type-Options für TYPO3
MIME-Sniffing verhindern: nosniff-Header in TYPO3 per TypoScript oder .htaccess — Backend ab v13 automatisch geschützt.
X-Content-Type-Options in TYPO3
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type einer Ressource erraten (MIME-Sniffing). Ohne diesen Header kann ein Angreifer z.B. eine JavaScript-Datei als Bild tarnen. Der Header ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check bewertet.
TYPO3 v13 setzt X-Content-Type-Options: nosniff automatisch im Backend. Für das Frontend konfigurieren Sie den Header per TypoScript. Für statische Dateien empfehlen wir die .htaccess-Methode.
Header setzen
Setzen Sie den Header per TypoScript für dynamische Seiten und per .htaccess für statische Dateien.
# TypoScript Setup
config.additionalHeaders {
10.header = X-Content-Type-Options: nosniff
}# .htaccess — auch für statische Dateien
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>Header verifizieren
Prüfen Sie den Header für HTML-Seiten und statische Assets separat.
vendor/bin/typo3 cache:flush
curl -sI https://ihre-domain.de | grep -i x-content-type
curl -sI https://ihre-domain.de/typo3conf/ext/site_package/Resources/Public/Css/main.css | grep -i x-content-typeHäufige Fehler
Falsche MIME-Types
Mit nosniff blockiert der Browser Ressourcen mit falschem MIME-Type. Stellen Sie sicher, dass Ihr Webserver korrekte Content-Type Header für .js, .css, .svg und .woff2 sendet.
staticfilecache
TypoScript-Header gelten nicht für EXT:staticfilecache. Setzen Sie den Header in der .htaccess — dort greift er für alle Requests.
Compliance-Relevanz
X-Content-Type-Options: nosniff ist eine grundlegende Sicherheitsmaßnahme, die in den OWASP Secure Headers-Empfehlungen aufgeführt ist. Der Wolf-Agents Web Security Check prüft den Header mit bis zu 10 Punkten.
Wie steht Ihre Domain bei X-Content-Type-Options?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.