Nextcloud & NginxProxyManager - X-Frame-Options

Chaos45

Tach auch,

ich hasse Fehlermeldungen und Warnungen, mich stört seit Wochen folgende Warnung unter Nextcloud:

Code

Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Mir ist klar was ich machen muss, mit dem Let´s Encrypt Container funktioniert es auch einwandfrei. Da ich etwas faul bin und auf grafische Oberflächen stehe, nutze ich aus Bequemlichkeit den Nginx Proxy Manager. Nur bekomme ich den Fehler/Warnung in dieser Kombi nicht weg.

Meine .conf (../appdata/NginxProxyManager/nginx/proxy_host) sieht so aus:

Code

# ------------------------------------------------------------
# domain.de, www.domain.de
# ------------------------------------------------------------




server {
  set $forward_scheme https;
  set $server         "192.168.188.2";
  set $port           446;


  listen 8080;
listen 4443 ssl http2;


  server_name domain.de www.domain.de;


add_header X-Frame-Options "SAMEORIGIN" always;


  # Let's Encrypt SSL
  include conf.d/include/letsencrypt-acme-challenge.conf;
  include conf.d/include/ssl-ciphers.conf;
  ssl_certificate /etc/letsencrypt/live/npm-4/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/npm-4/privkey.pem;








# Asset Caching
  include conf.d/include/assets.conf;




  # Block Exploits
  include conf.d/include/block-exploits.conf;






  # HSTS (ngx_http_headers_module is required) (31536000 seconds = 1 year)
  add_header Strict-Transport-Security "max-age=31536000;includeSubDomains; preload" always;








  access_log /config/[definition='1','0']log[/definition]/proxy_host-1.[definition='1','0']log[/definition] proxy;














  location / {




    # Force SSL
    include conf.d/include/force-ssl.conf;








  # HSTS (ngx_http_headers_module is required) (31536000 seconds = 1 year)
  add_header Strict-Transport-Security "max-age=31536000;includeSubDomains; preload" always;








    
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_http_version 1.1;
    


    # Proxy!
    include conf.d/include/proxy.conf;
  }




  # Custom
  include /data/nginx/custom/server_proxy[.]conf;
}


  # HSTS (ngx_http_headers_module is required) (31536000 seconds = 1 year)
  add_header Strict-Transport-Security "max-age=31536000;includeSubDomains; preload" always;

Alles anzeigen

Jemand eine Idee ???

Publish3r

Bei mir stehen diese Werte drin, vielleicht hilfts dir ja weiter.

Code

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Robots-Tag none; add_header X-Download-Options noopen;
add_header X-Permitted-Cross-Domain-Policies none;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "no-referrer" always;
add_header X-Frame-Options "SAMEORIGIN";

Chaos45

Zitat von Publish3r

Bei mir stehen diese Werte drin, vielleicht hilfts dir ja weiter.

Code

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Robots-Tag none; add_header X-Download-Options noopen;
add_header X-Permitted-Cross-Domain-Policies none;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "no-referrer" always;
add_header X-Frame-Options "SAMEORIGIN";

Das hatte ich auch schon drin stehen, kannst du mal deine ganze .conf kopieren? Hatte es im Server Block zu stehen aber hat nichts gebracht.
Nutzt du NginxProxyManager?

Publish3r

Nein, nutze ich nicht.
Meine Nextcloud liegt auf nen Hetzner Server und die gesamte Config wird auch etwas schwierig, bei mir ist die in mehrere Confs gesplittet, da auch noch andere Projekte auf dem Server laufen.
Hab meine Nextcloud damals nach dieser Anleitung installiert: https://www.c-rieger.de/nextcloud-installationsanleitung/
Wobei die jetzt schon auf NC 19 geupdatet ist, der Nginx Part sollte aber gleich sein.
Vielleicht lohnt sich da ja mal ein Blick.

Nextcloud & NginxProxyManager - X-Frame-Options

Jetzt mitmachen!

Tags

Benutzer online in diesem Thema