nextcloud requiere una configuración de servidor muy precisa. Si no están configurados correctamente, se muestran los siguientes mensajes en la interfaz de administración:
- La cabecera HTTP "X-XSS-Protection" no está configurada para que coincida con "1; mode=block". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
- La cabecera HTTP "X-Content-Type-Options" no está configurada para coincidir con "nosniff". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
- La cabecera HTTP "X-Robots-Tag" no está configurada para que coincida con "none". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
- La cabecera HTTP "X-Frame-Options" no está configurada para que coincida con "SAMEORIGIN". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
- La cabecera HTTP "X-Download-Options" no está configurada para que coincida con "noopen". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
- La cabecera HTTP "X-Permitted-Cross-Domain-Policies" no está configurada para que coincida con "none". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
Esto es muy fácil de arreglar. Si utiliza nginx, sólo tiene que añadir unas pocas líneas a la configuración de nginx v-host. El archivo se encuentra normalmente en /etc/nginx/sites-enabled/default
Dentro del bloque del servidor hay que añadir lo siguiente add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header X-Robots-Tag ninguno; add_header X-Download-Options "noopen"; add_header X-Permitted-Cross-Domain-Policies ninguno; add_header Referrer-Policy no-referrer;
Por último, reinicie el servidor
/etc/init.d/nginx restart
Hola,
hasta la versión 11.0.3 el error había desaparecido, con la versión 12 beta2 ha vuelto aunque no se ha cambiado nada en la conf.
¿Alguien tiene idea de por qué?
Hola, lamentablemente no uso una versión beta. En cuanto la versión 12 sea estable, estaré encantado de comprobarlo.
Gracias por la rápida respuesta.
Entonces esperaré hasta que llegue el estable.
Que tenga un buen fin de semana
La versión 12 ya ha sido lanzada oficialmente. Tengo exactamente el mismo problema con el mío: La cabecera HTTP "X-Frame-Options" no está configurada para que coincida con "SAMEORIGIN". Esto es un riesgo potencial de seguridad y se recomienda cambiar esta configuración.
La causa es rechr trival. La configuración de "X-Frame-Options" ha migrado al código PHP de Nextcloud y, por lo tanto, es redundante en la configuración de nginx, lo que conduce a un resultado no válido.
Solución: Eliminar la línea de añadir cabeceras "X-Frame-Options" y reiniciar nginx. He adaptado el post anterior en consecuencia.
Gracias por la información
Hola,
en la versión actual 16.0.4 se muestran las siguientes advertencias después de establecer las adiciones de configuración de nginx:
La cabecera HTTP "X-Content-Type-Options" no está configurada para coincidir con "nosniff".
La cabecera HTTP "X-Robots-Tag" no está configurada para que coincida con "none".
La cabecera HTTP "X-Download-Options" no está configurada para que coincida con "noopen".
La cabecera HTTP "X-Permitted-Cross-Domain-Policies" no está configurada para que coincida con "none".
Su servidor web no está configurado correctamente para resolver "/.well-known/caldav".
Su servidor web no está configurado correctamente para resolver "/.well-known/carddav".
No se ha configurado ninguna caché de memoria PHP. Se puede configurar una memoria caché para aumentar el rendimiento.
La cabecera HTTP "Referrer-Policy" no está configurada como "no-referrer", "no-referrer-when-downgrade", "strict-origin", "strict-origin-when-cross-origin" o "same-origin".
¿Puede alguien decirme qué ajustes hay que hacer todavía?
Si todavía tiene estos mensajes, significa que los cambios mencionados anteriormente no se han aplicado correctamente. Tengo la versión 16.0.4 y funciona con ella.