[/details]
Nextcloud version (26.0.1.1): 26.0.1.1
Operating system and version (eg, Ubuntu 20.04): Ubuntu 22.0.4
Apache or nginx version (eg, Apache 2.4.25): nginx/1.18.0 (Ubuntu)
PHP version (eg, 7.4): PHP 8.1.2-1ubuntu2.11 (cli) (built: Feb 22 2023 22:56:18) (NTS)
The issue you are facing:
Es gibt einige Warnungen bei deiner Systemkonfiguration.
Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles
Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „noindex, nofollow“ entspricht. Dies ist ein potentielles
Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles
Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein
Mit Culr erhalte ich folgenden Output (Auszug):
< x-content-type-options: nosniff
< x-xss-protection: 1; mode=block
< x-robots-tag: none
< x-download-options: noopen
< x-permitted-cross-domain-policies: none
< referrer-policy: no-referrer
< x-frame-options: SAMEORIGIN
< permissions-policy: interest-cohort=()
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< referrer-policy: no-referrer
< x-content-type-options: nosniff
< x-download-options: noopen
< x-frame-options: SAMEORIGIN
< x-permitted-cross-domain-policies: none
< x-robots-tag: noindex, nofollow
< x-xss-protection: 1; mode=block
Folgnde Konfigurationsdateien habe ich:
/etc/nginx/conf.d/HttpGateway.conf
/etc/nginx/conf.d/<myvirtualhost.conf>
In meiner vHost.conf habe ich folgende Einträge:
# HTTP response headers borrowed from Nextcloud `.htaccess`
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "noindex, nofollow" always;
add_header X-XSS-Protection "1; mode=block" always;
Bislang war ich der Meinung, dass das ausreichend ist. Was mache ich falsch, oder wo fehlt noch der richtige Eintrag, damit die Sicherheitswarnungen korrigiert werden?
Bin für jede Hilfe dankbar.