nextcloud Warnungen beheben unter nginx

nextcloud verlangt sehr genau definierte Servereinstellungen. Sind diese nicht richtig gesetzt werden im Admininterface folgende Meldungen angezeigt:

  • Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Beheben lässt sich das sehr leicht. Verwendet man nginx muss man lediglich in die nginx v-host Konfiguration ein paar Zeilen ergänzen. Die Datei findet man im Normalfall unter /etc/nginx/sites-enabled/default

Hinzugefügt werden muss innerhalb des Serverblocks folgendes

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header X-Download-Options "noopen";
add_header X-Permitted-Cross-Domain-Policies none;
add_header Referrer-Policy no-referrer;

Abschließend den Server neustarten

/etc/init.d/nginx restart

7 Kommentare

  1. Hallo,

    bis zu Version 11.0.3 war der Fehler weg gewesen, mit der Version 12 Beta2 ist es wieder da obwohl an der conf nichts geändert worden ist.
    hat jemand eine Ahnung warum ?

    • Version 12 ist nun offiziell veröffentlicht worden. Ich habe bei mir genau das gleiche Problem: Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
      Die Ursache ist rechr trival. Die Einstellung für „X-Frame-Options“ ist in den PHP Code von Nextcloud gewandert und somit in der nginx Konfiguration überflüssig, was zu einem ungültigem Ergebnis führt.
      Lösung: Die Zeile add headers „X-Frame-Options“ entfernen und nginx neustarten. Ich habe den Beitrag oben entsprechend angepasst.

  2. Hallo,
    in der aktuellen Version 16.0.4 werden nach dem Setzen der nginx- Konfigurations-Ergänzungen folgende Warnungen angezeigt:

    Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht.
    Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht.
    Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht.
    Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht.
    Dein Web-Server ist nicht richtig eingerichtet um „/.well-known/caldav“ aufzulösen.
    Dein Web-Server ist nicht richtig eingerichtet um „/.well-known/carddav“ aufzulösen.
    Es wurde kein PHP-Memory-Cache konfiguriert. Zur Erhöhung der Leistungsfähigkeit kann ein Memory-Cache konfiguriert werden.
    Der „Referrer-Policy“ HTTP-Header ist nicht gesetzt auf „no-referrer“, „no-referrer-when-downgrade“, „strict-origin“, „strict-origin-when-cross-origin“ oder „same-origin“.

    Kann mir jemand mitteilen, welche Einstellungen noch vorgenommen werden müssen?

    • Wenn du diese Meldungen noch hast bedeutet es dass die oben genannten Änderungen nicht richtig eingepflegt wurden. Habe selbst die Version 16.0.4 und damit geht es.

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*