Hey, Ich habe seit kuzem diese Fehlermeldungen in Nextcloud. Aber ich weiĂ nicht mehr wie ich sie beheben soll.
Hier die Fehlermeldung:
Der âX-Content-Type-Optionsâ-HTTP-Header ist nicht so konfiguriert, dass er ânosniffâ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Der âX-Robots-Tagâ-HTTP-Header ist nicht so konfiguriert, dass er ânoneâ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Der âX-Frame-Optionsâ-HTTP-Header ist nicht so konfiguriert, dass er âSAMEORIGINâ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Der âX-Download-Optionsâ-HTTP-Header ist nicht so konfiguriert, dass er ânoopenâ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Der âX-Permitted-Cross-Domain-Policiesâ-HTTP-Header ist nicht so konfiguriert, dass er ânoneâ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Der âX-XSS-Protectionâ-HTTP-Header ist nicht so konfiguriert, dass er â1; mode=blockâ enthĂ€lt. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu Ă€ndern.
Einfach die folgen Zeilen an die â/etc/apache2/conf-available/security.confâ anhĂ€ngen:
#ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security âmax-age=63072000; includeSubdomainsâ
Header always set X-Content-Security-Policy âallow âselfâ;â
header always set x-xss-protection â1; mode=blockâ
Header always set X-Robots-Tag ânoneâ
Header always set X-Download-Options ânoopenâ
Header always set X-Permitted-Cross-Domain-Policies ânoneâ
Header set X-Content-Type-Options: ânosniffâ
Header set X-Frame-Options: âsameoriginâ
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache âshmcb:logs/stapling-cache(150000)â
Wenn ich das genannte am Ende der besagte Konfigurationsdatei hinein einfĂŒge startet der Nextcloud Dienst nicht. Somit kann ich mich nicht via Web an meiner Nextcloud anmelden. Kannst du mir da aushelfen?
Mithilfe des Webentwicklertools eines Browsers (alle haben das) kann man sehen, welche Header gesendet werden, und sobald dort die dort doppelt auftauchen, werden die in der NC-OberflÀche als nicht gesendet angezeigt.
Ich editiere in solchen FÀllen die .htaccess Datei im Nextcloud-Verzeichnis, weil ich die Servereinstellungen nicht verÀndern darf und kann.
Puh, gute Frage; das ist jetzt 3 Jahre her und ich bin inzwischen auf einen VPS umgezogen.
Aber an und fĂŒr sich klingt das Auskommentieren plausibel, ja.
[EDIT] Oder: vielleicht hatte ich auch die korrekten Zeilen nochmals angehĂ€ngtâŠ
âŠleider sind meine Backups vom damals inzwischen nicht mehr daâŠ