Der “Referrer-Policy” HTTP-Header ist nicht gesetzt auf … – Nextcloud
Hin und wieder prüfe ich als Administrator in den Einstellungen meiner Nextcloud, ob alles in Ordnung ist. Bei größeren Updates müssen vielleicht die Datenbanken aktualisiert werden, wie Big-Int-Umwandlungen und dergleichen. Etwas seltsam fand ich die Warnung: Der “Referrer-Policy” HTTP-Header ist nicht gesetzt auf “no-referrer”, “no-referrer-when-downgrade”, “strict-origin”, “strict-origin-when-cross-origin” oder “same-origin”. Dadurch können Verweis-Informationen preisgegeben werden. Um den HTP-Header habe ich mich doch schon einmal gekümmert?! Wieso taucht das nun wieder auf?
Seit wann es diese Warnung gibt, kann ich nicht 100 % genau sagen. Ich vermute, dass sie bei mir im Zuge des Upgrades von Nextcloud 16 auf 17 aufgetreten ist. Kann gut sein, dass ich nach dem Upgrade nur getestet habe, ob alles funktioniert. Schon möglich, dass ich hier die übliche Prüfung übersehen habe.
Viel hilft nicht viel beim HTTP-Header
Auf jeden Fall ist es so, dass die Nextcloud diese Einträge seit einiger Zeit in der eigenen .htaccess-Datei vornimmt. Früher musstest Du allerdings die entsprechende Webserver-Konfigurationsdatei (bei mir Apache2) so konfigurieren, dass die HTTP-Header richtig gesetzt wurden. Nach ein bisschen Suchen bin ich auf einen Beitrag in der Nextcloud-Hilfe gestoßen.
Der Fehler tritt nicht nur dann auf, wenn der HTTP-Header nicht gesetzt wurde. Das Problem zeigt sich auch dann, wenn er doppelt oder mehrfach gesetzt wird. Genau das war bei mir der Fall. Nachdem ich den Eintrag in der Konfigurationsdatei des Webservers auskommentiert habe, ist der Fehler verschwunden. Ich kommentiere meist erst aus und lösche nicht sofort. Dann ist eine Rolle rückwärts einfacher. 🙂 Eine weitere gute Angewohnheit wäre es, die Konfigurationsdatei vor dem Editieren zu kopieren. Da es sich bei mir aber nur um eine Zeile handelt, habe ich mich für ein Auskommentieren entschieden. Egal wie – Hauptsache Backup!
Etwas rätselhaft finde ich allerdings, dass das Problem erst jetzt aufgetreten ist. Mir ist nicht ganz klar, warum ich die Warnung nicht schon früher zu Gesicht bekam. Ist wohl Zeit- und Energie-Verschwendung, sich darüber noch Gedanken zu machen. Nun ist ja wieder alles grün.
Falls Du also auch über diese Warnung rätselst, obwohl Du die Konfiguration vermeintlich richtig hast – prüfe, ob es sich um einen Doppler handelt!
Hi,
ich habe genau das selbe Problem, wenn du deine Cloud mal mit https://securityheaders.com/ testest, werden die Header aber nicht mitgegeben. Ist sehr merkwürdig das ganze.
Gerade gemacht, bei mir ist es aber grün und in Ordnung ...
Stimmt du nutzt ja Apache2, da ging das bei mir auch nocht, seit ich auf Nginx umgestellt habe ist das bei mir verbuggt.
Super hatte genau das gleiche Problem 🙂 Danke fürs teilen.