nextcloud Warnungen beheben unter nginx

nextcloud verlangt sehr genau definierte Servereinstellungen. Sind diese nicht richtig gesetzt werden im Admininterface folgende Meldungen angezeigt:

  • Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

 

Beheben lässt sich das sehr leicht. Verwendet man nginx muss man lediglich in die nginx v-host Konfiguration ein paar Zeilen ergänzen. Die Datei findet man im Normalfall unter /etc/nginx/sites-enabled/default

 

Hinzugefügt werden muss innerhalb des Serverblocks folgendes
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header X-Download-Options "noopen";
add_header X-Permitted-Cross-Domain-Policies none;

 

Abschließend den Server neustarten

/etc/init.d/nginx restart

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Das könnte Dich auch interessieren …

5 Antworten

  1. Christos sagt:

    Hallo,

    bis zu Version 11.0.3 war der Fehler weg gewesen, mit der Version 12 Beta2 ist es wieder da obwohl an der conf nichts geändert worden ist.
    hat jemand eine Ahnung warum ?

  2. Christos sagt:

    Danke für die schnelle Antwort!
    Dann warte ich bin die stable kommt.

    Schönes Wochenende

    • Matthias sagt:

      Version 12 ist nun offiziell veröffentlicht worden. Ich habe bei mir genau das gleiche Problem: Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
      Die Ursache ist rechr trival. Die Einstellung für „X-Frame-Options“ ist in den PHP Code von Nextcloud gewandert und somit in der nginx Konfiguration überflüssig, was zu einem ungültigem Ergebnis führt.
      Lösung: Die Zeile add headers „X-Frame-Options“ entfernen und nginx neustarten. Ich habe den Beitrag oben entsprechend angepasst.

  3. christos sagt:

    Danke für die Info

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.