J4.x

HTTP Header Verwaltung

From Joomla! Documentation

This page is a translated version of the page J4.x:Http Header Management and the translation is 56% complete.

Outdated translations are marked like this.
Other languages:
Deutsch • ‎English • ‎français • ‎italiano
Joomla! 
4.0
Tutorial
Wie man das neue HTTP-Header-Management in Joomla 4.0 verwendet


Mit Joomla 4.0 hat Joomla ein HTTP-Header-Management-System eingeführt. Dieses System wurde entwickelt, um Website-Betreiber zu unterstützen, die HTTP-Sicherheitsheader aus dem Backend zu konfigurieren.

In diesem Tutorial sind Informationen zu finden, wie man das neue System einrichtet.

Hinweis: Das folgende Tutorial basiert auf dem 4.0.0-alpha8 Backend-Template.

Plugin

HTTP Headers (plg_system_httpheaders)

Navigiere zu System  Plugins  System - HTTP Headers um auf die Plugin-Konfiguration zuzugreifen.

Plugin Konfiguration

Joomla-40-http-headers-plugin-overview-en.png

Auf dieser Seite legt man fest, ob die Header in die Serverkonfigurationsdateien (.htaccess und web.config) geschrieben werden und einstellen, ob die folgenden http-Header aktiviert sind.

Über das Formular "Zusätzlicher Header" kann man auch die folgenden Header mit seinen Werten konfigurieren:

Strict-Transport-Security (HSTS) Konfiguration

Joomla-40-http-headers-plugin-hsts-en.png

Auf dieser Seite kann man festlegen, ob der Strict-Transport-Security (HSTS)-Header aktiviert wird. Ebenfalls kann man hier den max-age Wert konfigurieren, ob Subdomains aufgenommen werden sollen und ob diese in die Browser-Vorlade-Liste aufgenommen werden sollen.

Komponente

Inhaltssicherheitsrichtlinien (com_csp)

Navigiere zu System  Inhaltssicherheitsrichtlinien, um auf das Dashboard für die Berichte zu Inhaltssicherheitsrichtlinien zuzugreifen.

Berichte

Joomla-40-content-security-policy-reports-en.png

Von dieser Seite aus hat man als Administrator einen globalen Überblick über die gesammelten Berichte der Inhaltssicherheitsrichtlinien und kann vorgeschlagenen Regeln für die Inhaltssicherheitsrichtlinien überprüfen, veröffentlichen, verbergen und löschen.

Um mehr zu darüber zu lernen, siehe: Inhaltssicherheitsrichtlinien Oberfläche

Optionen

Joomla-40-content-security-policy-options-en.png

From this screen you can configure the options of the component like the permissions and specificly the settings for the Content-Security-Policy, including different modes and whether the headers are in read only mode.

To learn more, please see: Content Security Policy Options

Extension Developers

As you might know the big security advantage concerning Content Security Policy jumps in when we can use the Header to block inline JavaScript and inline CSS. But we also know that it is still a requirement to have inline JavaScript and CSS, for that reason we have implemented an nonce support into our JavaScript and CSS APIs using this nonce we can still whitelist your inline JavaScript and CSS but still block any malicious ones to protect our sites.

In order that extensions still work even with strict Content Security Policy enabled, the easiest way is to use the Joomla API to apply your inline JavaScript and CSS, please check the examples below.

Adding JavaScript using the Joomla API

use Joomla\CMS\Factory;

// Add JavaScript from URL
Factory::getDocument()->addScript('https://example.org/sample.js');

// Add inline JavaScript
Factory::getDocument()->addScriptDeclaration('
    window.event("domready", function() {
        alert("An inline JavaScript Declaration");
    });
');

Adding CSS using the Joomla API

use Joomla\CMS\Factory;

// Add Style from URL
Factory::getDocument()->addStyleSheet('https://example.org/sample.css');

// Add inline Style
Factory::getDocument()->addStyleDeclaration('
	body {
		background: #00ff00;
		color: rgb(0,0,255);
	}
');

More details can be found here: