Alertes Sécurités suite installation Nexcloud

Bonjour,

Suite à l’installation de Nextcloud, tout fonctionne parfaitement. Par contre j’ai des alertes de sécurités et je ne sais pas trop comment régler ça (je suis débutant dans le domaine)
voici ce que j’ai:

• La configuration des entêtes du reverse proxy est incorrecte, ou vous accédez à Nextcloud depuis un proxy de confiance. Si ce n’est pas le cas, c’est un problème de sécurité, qui peut permettre à un attaquant d’usurper l’adresse IP affichée à Nextcloud. Plus d’information peuvent être trouvées dans la documentation .
• L’en-tête HTTP “X-Frame-Options” n’est pas configurée pour être égale à “SAMEORIGIN”. Ceci constitue un risque potentiel relatif à la sécurité et à la vie privée étant donné qu’il est recommandé d’ajuster ce paramètre.
• L’en-tête HTTP “Strict-Transport-Security” n’est pas configuré à au moins “15552000” secondes. Pour une sécurité renforcée, il est recommandé d’activer HSTS

Je suppose qu’il faille modifier la configuration HTTP, comment je peux déjà vous l’afficher?
Merci

Salut @Grobabs et bienvenue !

Dans mon fichier de configuration Nginx, voici la partie header :

    # Header
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Robots-Tag none;
    # Sur certaines instances Nextcloud, j'ai du changer avec ça :
    # add_header X-Robots-Tag "noindex, nofollow" always;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "no-referrer" always;
    add_header X-Frame-Options "SAMEORIGIN";

Ça devrait répondre à tes deux derniers points en tout cas
En tout cas si tu utilises Nginx (et pas Apache) comme reverse-proxy
Je suis en Nextcloud 25 pour info (certains paramètres n’étaient pas recommandés avant sur les versions précédentes)

bonne journée !