Hallo,
ich habe, denke ich, seit Beginn an, diese Konsolen-Fehler im Browser und dachte immer:
âAch, mit der nĂ€chsten Versionâ verschwinden die schon"
Dies ist nun aber fast 2 Jahre her und irgendwie werden die Fehler nicht besser.
Ich habe z.B. beim Aufrufen des Dashboard diese Fehler:
Und beim Aufrufen der Dateien diese:
Seltsam ist auch, das immer ein 404 Fehler erzeugt wird, wenn der aufgerufene Ordner keine âReadme.mdâ Datei enthĂ€lt.
Nunja, diesen kann man ja âlassenâ - aber die 2 Fehler hĂ€tte ich dann schon gerne einmal bereinigt.
You use 23.0.1 RC1 perhaps this is also a problem.
Do you use a security software in your browser and/or operating system?
Perhaps you must exclude your nextcloud.
Hallo,
also, die Cloud lÀuft auf meinem Server zu Hause in einem TrueNAS (ehemals FreenAS) Jail mit Nginx.
Davor ist ein Apache Reverse Proxy geschaltet.
Beim Test mit dem Securityheader bekomme ich aktuell ein âAâ.
So brachte mich die Suche auf etwas mit den âContent Security Policyâ
Man solle wohl
### Apache Content-Security-Policy Header
Add the following to your `httpd.conf` in your `VirtualHost` or in an `.htaccess` file:
Header set Content-Security-Policy âdefault-src âselfâ;â
### Nginx Content-Security-Policy Header
In your `server {}` block add:
add_header Content-Security-Policy âdefault-src âselfâ;â;
nutzen. Jedoch zeigt meine Seite dann gar nichts mehr an. Es kommen 99+ Javascript Fehler in der Konsole.
Aber, der Punkt scheint irgendwie in die richtige Richtung zu gehen - jedoch weiss ich jetzt nicht weiter, wenn ich den o.g. Code einfĂŒge, bekomme ich ein âA+â bei securityheaders, was augenscheinlich richtig ist - jedoch funktioniert meine Seite nicht mehr
Oh ja das kenn ich
Deswegen hab ich das angesprochen.
Mein Vorschlag wÀre es immer schön langsam. Fang mit die Header immer schrittweise an.
Es bingt nix jede menge Sicherheitsfeatures reinzuquetschen wenn dann z.b die Video und Micro Konferenz (Talk) nicht mehr geht.
Bei den Content-Security-Policy Header
hab ich auch die Erfahrung machen mĂŒssen das die Reihenfolge der Header set auch schon eine Rolle spielen kann.
Vergiss A+ beim Header in Zusammenhang mit âTalkâ A ist schon gut.
Wenn ich mit curl schaue, dann kommt der CSP Header ja direkt von Nextcloud und âverursachtâ das unsafe inline.
Den header hier habe ich nirgends angegeben.
Ich habe nun auch mal genauer geschaut. Also, die 2 Dashboard Fehler kommen erstmal durch den allgemeinen Viewer, der die DOM nicht richtig registriert. Soll aber im nÀchsten Release gefixt sein.
Des weiteren ist dieser âinsecureâ inline code wohl aktuell gewollt, weil noch nicht alle âAppsâ auf die neuen Header können.
Somit sind das âProblemeâ, die dadurch kommen, wenn die Haupt-Applikation nicht den richtigen Weg vorgibt