HTTP Header Fehlermeldung Nextcloud [solved]

Hey, Ich habe seit kuzem diese Fehlermeldungen in Nextcloud. Aber ich weiß nicht mehr wie ich sie beheben soll.

Hier die Fehlermeldung:

  • Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ enthält. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Einfach die folgen Zeilen an die “/etc/apache2/conf-available/security.conf” anhängen:

#ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security “max-age=63072000; includeSubdomains”
Header always set X-Content-Security-Policy “allow ‘self’;”
header always set x-xss-protection “1; mode=block”
Header always set X-Robots-Tag “none”
Header always set X-Download-Options “noopen”
Header always set X-Permitted-Cross-Domain-Policies “none”
Header set X-Content-Type-Options: “nosniff”
Header set X-Frame-Options: “sameorigin”
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache “shmcb:logs/stapling-cache(150000)”

Wenn ich das genannte am Ende der besagte Konfigurationsdatei hinein einfüge startet der Nextcloud Dienst nicht. Somit kann ich mich nicht via Web an meiner Nextcloud anmelden. Kannst du mir da aushelfen?

Zudem habe ich es bereits hier eingebettet

Dennoch habe ich diese Warnhinweise:

Unter Umständen werden diese Header doppelt gesendet.

Mithilfe des Webentwicklertools eines Browsers (alle haben das) kann man sehen, welche Header gesendet werden, und sobald dort die dort doppelt auftauchen, werden die in der NC-Oberfläche als nicht gesendet angezeigt.

Ich editiere in solchen Fällen die .htaccess Datei im Nextcloud-Verzeichnis, weil ich die Servereinstellungen nicht verändern darf und kann.