Nextcloud:标头检测错误

时间:2018-09-12 18:32:11

标签: apache http https archlinux nextcloud

我实际上遇到了Nextcloud 14(全新安装

的问题
  

有关您的设置的一些警告。

     

不再支持使用内置的php邮件程序。请更新>您的电子邮件服务器设置      

“ X-XSS-Protection” HTTP标头未设置为“ 1; mode = block”。这是潜在的安全或隐私风险,因为建议相应地调整此设置。

     

“ X-Content-Type-Options” HTTP标头未设置为“ nosniff”。这是潜在的安全或隐私风险,因为建议相应地调整此设置。

     

未将“ Referrer-Policy” HTTP标头设置为“ no-referrer”,“降级时没有no-referrer”,“ strict-origin”或“ strict-origin-when-cross-origin”。这可能会泄漏引荐来源信息。参见W3C建议↗。

Example

就像您可以在nextcloud上面看到的那样,明确地说是我没有正确配置此标头:

但是在我的httpd.conf中(我使用Arch BTW <3):

Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set Referrer-Policy "same-origin"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-content-Type-Options "nosniff"
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"

我不明白为什么它不起作用,我什至尝试查看使用了哪个标头和使用了此标头:

Request URL: https://cloud.schmitt-etienne.fr/index.php/settings/admin/overview
Request Method: GET
Status Code: 200 
Remote Address: [2a01:e34:eeab:eb60:ffff:ffff:ffff:ffff]:443
Referrer Policy: no-referrer
cache-control: no-cache, no-store, must-revalidate
content-length: 27725
content-security-policy: upgrade-insecure-requests
content-type: text/html; charset=UTF-8
date: Wed, 12 Sep 2018 18:22:45 GMT
expires: Thu, 19 Nov 1981 08:52:00 GMT
pragma: no-cache
referrer-policy: same-origin
server: Apache
status: 200
strict-transport-security: max-age=15768000; includeSubDomains; preload
x-content-type-options: nosniff
x-content-type-options: nosniff
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-powered-by: PHP/7.2.10
x-robots-tag: none
x-xss-protection: 1; mode=block
x-xss-protection: 1; mode=block
:authority: cloud.schmitt-etienne.fr
:method: GET
:path: /index.php/settings/admin/overview
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
accept-encoding: gzip, deflate, br
accept-language: fr-FR,fr;q=0.9,en-US;q=0.8,en;q=0.7
cache-control: max-age=0
cookie:
upgrade-insecure-requests: 1

如果您想see yourself :

,可以自己去看我的网站

如果我想念任何东西,我很高兴听到任何评论!

祝你有美好的一天:)

1 个答案:

答案 0 :(得分:1)

我刚刚发现,nextcloud附带了一个.htaccess文件,该文件设置了自己的标头,因此标头被发送了两次,这就是原因:)

永远不要停止尝试和学习!

相关问题
最新问题