$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern']

Mit dem gestrigen TYPO3 Update wurde eine neue Systemvariable namens "trustedHostsPattern" eingeführt.

Grund war die Möglichkeit von sog. Host Spoofing Angriffen, welche durch eine nicht ausreichende Validierung der HTTP-host-header bedingt war. Generell werden die host-header clientseitig gesetzt und können daher leicht manipuliert werden.

Durch die Einstellung des trustedHostsPattern Parameters kann diese Problematik verhindert werden (Prüfung der host-header mit den dort eingetragenen Werten).

Die Standardeinstellung "SERVER_NAME" sollte bei den meisten Apache basierten Webservern  funktionieren. Wenn nicht, bleibt nur ein händisches Eintragen der entsprechenden Domain (aufpassen wenn mit und ohne www. aufrufbar!). Sind mehrere Domains im Einsatz, könnte folgendes helfen:

$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] = (.*\.beispieldomain|.*\.anderedomain)\.de - gilt für die hostnamen der Subdomains den beiden Domains

$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] = 'beispiel\.(de|ch)' - gilt für die beiden Domains

$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] = .*\.domain\.de - gilt für alle Hostnamen die mit domain.de enden (auch alle Sudomains)

$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] = '.*\.domain1|domain2\.de|com:*' - für eine Multidomaininstallation

Wie ersichtlich, können reguläre Ausdrücke verwendet werden. Im Installtool finden sich auch ein paar Hinweise über mögliche Einstellungen. Weitere Informationen (auch zu Servereinstellungen) gibt es auch hier.

Andere Beispiele erfolgreich eingesetzt? Bitte kurze Nachricht, dann kann ich diese noch ergänzen.

Nachtrag: die Erweiterung Trusted Hosts Pattern wandelt automatisch eingetragene Domainrecords in entsprechende Patterns um und spart damit einiges an Arbeit.

Kommentare (2)

  • nino
    nino
    am 17.12.2015
    hallo
    ich habe eben problem in welche datei kann ich was ändern dass bei abruf meine domain kommt keine so fehler;
    cytat
    Oops, an error occurred!

    The current host header value does not match the configured trusted hosts pattern! Check the pattern defined in $GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] and adapt it, if you want to allow the current host header ' www.fly-service.pl' for your installation.

    More information regarding this error might be available online.

    ich wollte angeben fly-service.pl da kommt fehler wenn ich angebe www.fly-service.pl auch aber wenn ich angeb mit der vor http//: ggehts ok
    kannst mir eine tip gebe
    Danke schön im vorraus
    NIno
    • Christoph
      Christoph
      am 17.12.2015
      Hallo Nino!
      Es gibt drei Wege das zu ändern:
      1.) Über das TYPO3-Installtool (dort "all configuration" -> "$TYPO3_CONF_VARS['SYS']" aufklappen -> dann nach "[SYS][trustedHostsPattern]" suchen.
      2.) Über die Datei "localconfiguration.php", dort kannst Du direkt die Werte setzen.
      3.) Die Erweiterung "Trusted Hosts Pattern" einsetzten (ist oben verlinkt), diese greift auf die Domain-Einträge zurück.
      VG
      Christoph

Neuen Kommentar schreiben