[TYPO3-german] Benutzer auf https umleiten - mixed content verhindern
Christian Kuhn
lolli at schwarzbu.ch
Fri Sep 6 10:33:36 CEST 2013
Moin.
> RewriteEngine On
> RewriteCond %{HTTPS} !=on
> RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
Genau, sowas sollte Serverseiting umgeschrieben werden.
Wenn die Site dann ohnehin nur noch ueber https erreichbar ist (weil
http immer umgeschrieben wird), dann kann man auch gleich noch paar
weitere Goodies setzen:
a) HSTS http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Damit erklaert man nem Client das die Site nur https bietet, der Client
merkt sich das und fragt fortan direkt https ab, nicht mehr http. In
nginx ist die noetige Einstellung:
add_header Strict-Transport-Security max-age=15768000;
b) $GLOBALS['TYPO3_CONF_VARS']['SYS']['cookieSecure'] = 2;
Betrifft FE und BE user cookies (also die von T3 erstellt werden). Das
Setting sagt dem Browser es soll die Cookies nur noch ueber https senden.
c) $GLOBALS['TYPO3_CONF_VARS']['SYS']['cookieHttpOnly'] = TRUE;
Browser verhindert JavaScript Zugriff auf TYPO3 session cookies. Das
sollte JS im Normalfall eh nicht tun muessen, daher sollte es problemlos
sein das zu setzen.
Gruesse
Christian
More information about the TYPO3-german
mailing list