Der "Referrer-Policy" HTTP-Header ist nicht gesetzt

Hallo,

obwohl ich mich an die Vorgaben hier The "Referrer-Policy" HTTP header is not set to "no-referrer" gehalten habe, erscheint bei mir weiterhin die Warnmeldung. Ich habe die .htaccess angepasst und mod_env ist aktiv.
Mein System:
Ubuntu 18.04.1
Apache 2.4.29
Nextcloud 14.0.1

Hat jemand einen Tipp für mich, wie ich das Problem beseitigen kann?
Vielen Dank im Voraus :grinning:

1 Like

Hilft Dir das? -> https://github.com/nextcloud/server/issues/11099

Vielen Dank für die schnelle Antwort, aber leider hilft mir die nicht weiter…

Die Zeile “Header set Referrer-Policy “no-referrer”” habe ich meiner /var/www/html/.htaccess hinzugefügt:

<IfModule mod_env.c>
    # Add security and privacy related headers
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Robots-Tag "none"
    Header set X-Download-Options "noopen"
    Header set X-Permitted-Cross-Domain-Policies "none"
    Header set Referrer-Policy "no-referrer"
    SetEnv modHeadersAvailable true
  </IfModule>

Die Warnung bekomme ich leider weiterhin angezeigt…

Hast Du
service apache2 restart
nach der Änderung eingegeben oder das System rebootet?

Hallo,
ja, sowohl als auch. Leider ohne Erfolg…

Versuch mal.

In die…
/etc/apache2/sites-enabled/ .conf

die Zeile:
Header set Referrer-Policy "no-referrer"

unter
<VirtualHost :port…
</VirtualHost…

ein zu fügen.

Leider wird das größer als Zeichen hier ausgewertet als Zitat, musst du dir hinzudenken. :wink:

Hat bei mir geholfen.
Gleiche Systeminfos…

1 Like

SUPER :+1:
Dieser Tipp hat geholfen, in der Übersicht erscheint nun
grafik
Vielen Dank für die Hilfe :grinning:

Habe gleiches Problem mit der “Referrer-Policy” HTTP header is not set to “no-referrer, …”

Kann leider keine Servereinstellungen ändern, da die Nextcloud in einem gehosteten Angebot bei all-inkl.com liegt. Der Fehler war vor dem Update auf 14 nicht da.

Gemäß Anleitung fügte ich in die .htacces die Zeilen hinzu.

Auszug aus der .htaccess

<IfModule mod_env.c>
    # Add security and privacy related headers
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Robots-Tag "none"
    Header set X-Download-Options "noopen"
    Header set Content-Security-Policy "default-src 'none';"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
    Header always set Referrer-Policy "strict-origin"
    Header set X-Permitted-Cross-Domain-Policies "none"
    SetEnv modHeadersAvailable true
  </IfModule>

Der Websitentest auf https://siwecos.de/ moniert:
Der Header ist unsicher gesetzt, da er unsafe-inline- oder unsafe-eval-Direktiven enthält.

So gern ich Dir helfen würde, aber ich bin hier überfragt, sorry. Hoffe, dass jemand anderes unterstützen kann…

Moin,

also das sollte eigentlich funktionieren:

<IfModule mod_env.c>
# Add security and privacy related headers
Header set Referrer-Policy "no-referrer"
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Robots-Tag "none"
Header set X-Download-Options "noopen"
Header set X-Permitted-Cross-Domain-Policies "none"
SetEnv modHeadersAvailable true
</IfModule>

Hallo,

ich habe das oben genannte Problem auch.
Ich habe openmediavault 4 (also Debian ) installiert und darauf dann eine nextcloud.
Nach dieser Anleitung:
https://www.technikaffe.de/anleitung-402-howto_nextcloud_unter_openmediavault_3_inkl._fail2ban

DIe Zeilen (oben) habe ich in
*/nextcloud/.htaccess
eingefügt.

Ohne Erfolg.
Vielen Dank schon mal im Voraus

Hier dasselbe Problem

Hallo,
Ich hatte jetzt nach einer Neuinstallation dasselbe Problem. Ich habe deshalb eine .htaccess im Stammverzeichnis erstellt (meine Cloud liegt im Verzeichnis cloud) mit folgendem Inhalt:
Header always set Strict-Transport-Security “max-age=15552000; includeSubDomains”
Header set Referrer-Policy “no-referrer”
Das hat beide Fehlermeldungen verschwinden lassen. System ist ein Debian 9 mit Apache und Plesk Onyx.

LG

Servus Leute,
seit dem letzten Update hatte ich auch wieder die besagte Fehermeldung.

Da dieser Thread in Google als Top-Ereigniss gezeigt wird, post ich hier eine Antwort.

Seit der Version NC14, hatte ich in meiner apache2-conf folgenden Wert gesetzt:

header always set Referrer-Policy "no-referrer"

Dies funktionierte auch die ganze Zeit bis zu dem letzten Update (Nextcloud?, Apache2? / Debian)

Im Endeffekt war es jetzt bei mir das “always”.

Nun habe ich folgendes konfiguiert und Nextcloud gibt ruhe.

header set Referrer-Policy "no-referrer"

Gruß!

Habe gerade von 14.0.4 auf 14.0.6 upgedatet. Und jetzt will er das “always” wieder drin haben.

Hi,
habe gerade auf 15.02 aktualisiert.
Jetzt mag er das “always” wieder nicht in “/etc/apache2/sites-available/nextcloud.conf” im Abschnitt “Directory”.

ruegi

Ich erhalte diese Fehlermeldung, obwohl die Angabe in der apache2.conf gesetzt ist und sie laut “https://gf.dev/referrer-policy-test” korrekt gesetzt ist.
Ein wenig mehr Transparenz, woher der Security-Scan seine Angabe nimmt und an welcher Stelle genau man diese Angabe machen soll, wäre schön.

BTW: Neueste nextcloud Version aktiv 17.0.2

Des Rätsels Lösung: Dopplungen werfen ebenfalls den Fehler!
Daher sicherstellen, dass diese Angabe nur an EINER Stelle ist.
Entweder in der globalen apache2.conf, oder in der owncloud/nextcloud.conf oder in der .htaccess.

Prüft man das mit https://gf.dev/referrer-policy-test, so erscheint dann auch nur einmal “no-referrer”. Bei Dopplungen sieht man “no referrer no referrer”.

Kurzes Update hierzu:

die Header-Angaben sind bei mir ausschließlich in der .htaccess gesetzt, keine Dopplungen, eben nochmal mit https://gf.dev/referrer-policy-test überprüft. Trotzdem erhalte ich nach jedem Update (auch gerade eben beim Update auf 17.0.3) die beschriebenen Sicherheitswarnungen, ausgelöst durch den Zusatz “always” in den Header-Angaben. Sobald ich das “always” aus allen Header-Configs entferne meckert die Nextclud-Sicherheitsprüfung nicht mehr rum. Nervig. Könnte das bitte irgendwann mal gefixt werden?