NC26.0.1.1. nach Update X-Content/ X-Robot-Tag/ X-Frame-Options/X-Permitted-Cross-Domain

SHE · June 19, 2023, 1:25pm

[/details]

Nextcloud version (26.0.1.1): 26.0.1.1
Operating system and version (eg, Ubuntu 20.04): Ubuntu 22.0.4
Apache or nginx version (eg, Apache 2.4.25): nginx/1.18.0 (Ubuntu)
PHP version (eg, 7.4): PHP 8.1.2-1ubuntu2.11 (cli) (built: Feb 22 2023 22:56:18) (NTS)

The issue you are facing:
Es gibt einige Warnungen bei deiner Systemkonfiguration.
Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles
Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „noindex, nofollow“ entspricht. Dies ist ein potentielles
Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles
Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein

Mit Culr erhalte ich folgenden Output (Auszug):

< x-content-type-options: nosniff
< x-xss-protection: 1; mode=block
< x-robots-tag: none
< x-download-options: noopen
< x-permitted-cross-domain-policies: none
< referrer-policy: no-referrer
< x-frame-options: SAMEORIGIN
< permissions-policy: interest-cohort=()
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< referrer-policy: no-referrer
< x-content-type-options: nosniff
< x-download-options: noopen
< x-frame-options: SAMEORIGIN
< x-permitted-cross-domain-policies: none
< x-robots-tag: noindex, nofollow
< x-xss-protection: 1; mode=block

Folgnde Konfigurationsdateien habe ich:
/etc/nginx/conf.d/HttpGateway.conf
/etc/nginx/conf.d/<myvirtualhost.conf>

In meiner vHost.conf habe ich folgende Einträge:

    # HTTP response headers borrowed from Nextcloud `.htaccess`
    add_header Referrer-Policy                   "no-referrer"       always;
    add_header X-Content-Type-Options            "nosniff"           always;
    add_header X-Download-Options                "noopen"            always;
    add_header X-Frame-Options                   "SAMEORIGIN"        always;
    add_header X-Permitted-Cross-Domain-Policies "none"              always;
    add_header X-Robots-Tag                      "noindex, nofollow" always;
    add_header X-XSS-Protection                  "1; mode=block"     always;

Bislang war ich der Meinung, dass das ausreichend ist. Was mache ich falsch, oder wo fehlt noch der richtige Eintrag, damit die Sicherheitswarnungen korrigiert werden?

Bin für jede Hilfe dankbar.

SHE · June 29, 2023, 5:15pm

Servus,

habe heute nochmal ein wenig gelesen und gefunden, dass bei nginx folgende conf-Datei Einträge hat, die bei dieser Konfiguration helfen:

/etc/nginx/snippets/headers.conf

Dort habe ich die obigen Werte eingetragen und schon passt es.

Danke