Ein Problem beim Betrieb einer Webseite sind Angriffe von außen. Dabei ist Cross-Site-Scripting (XSS) eine Variante: Ein Angreifer versucht fremde Scripte auf den Server zu laden, um die Kontrolle über diesen zu übernehmen. Um dem vorzubeugen, sollte man seine Webseite mit der gesamten dazu genutzten Software regelmäßig auf den aktuellsten Stand bringen.
Nun gibt es aber eine weitere Maßnahme, die für einen effektiven Schutz vor XSS sorgen kann: über eine Content Security Policy (CSP) kann man exakt angeben, wer Daten auf den eigenen Server laden kann. Mit der Version 12 hat TYPO3 nun die Möglichkeit bereitgestellt, eine CSP einzurichten. Was man dazu einstellen muss, welche Optionen es gibt und wie man dies in TYPO3 mit PHP umsetzt, habe ich im Wiki unserer Agentur beschrieben.