Nextcloud 配置安全性

夜桜

本帖最后由 夜桜 于 2019-3-31 06:01 编辑

总所周知
Nextcloud装完后后台检查安全性一大堆提示
我早在很久之前就
已经全部解决过了
，还
写了
一篇
教程
教人怎么解决。

可笑的是。。。


现在我自己出问题了
。

全新装完优化完后 后台显示有一个错误：

[ol]

The "Referrer-Policy" HTTP header is not set to "no-referrer", "no-referrer-when-downgrade", "strict-origin" or "strict-origin-when-cross-origin". This can leak referer information. See the W3C Recommendation ↗.[/ol]复制代码

我看我以前自己写的教程，说的是 在nginx配置文件里加入[ol]

add_header Referrer-Policy "no-referrer";[/ol]复制代码
我检查了一下自己的配置文件，我明明就有这一句啊。

然后我继续搜索，跟问其他也一样解决了所有问题的朋友。得到的答案也全部是加入这一句就好了。

问题是。。。。。。
我他喵的有加啊
！！！

然后我就很生气，把这一行给
删了
，重新载入配置，刷新。

"

我！.................他喵的你这是在逗我........？

有没有懂的大佬解释一下为什么会这样......
加进去了反而有提示......

在线等。






感谢 @Kslr 的帮助。解决方法的确是从Nginx配置文件里删掉那行就好了。
可能原因大概是以前版本的Nextcloud没有内置这些配置，所以要自己手动添加。
随着NC版本升级，已经内置了这个配置，导致Nginx里添加后产生2次 add_header Referrer-Policy "no-referrer"; 导致了这个问题
但是提示文字是 “is not set to” 应该算是BUG？

Kslr

即使你的配置有，也应该检查header
因为add_header在location仅单一有效

夜桜

Kslr 发表于 2019-3-31 03:43

即使你的配置有，也应该检查header
因为add_header在location仅单一有效
用检查header的网站检查了一下。
有 Referrer-Policy: no-referrer 的header的话
nextcloud后台就提示 The "Referrer-Policy" HTTP header is not set to "no-referrer", "no-referrer-when-downgrade", "strict-origin", "strict-origin-when-cross-origin" or "same-origin". This can leak referer information. See the W3C Recommendation ↗.

检查header 里没有 Referrer-Policy: no-referrer
后台就提示all checks passed

Kslr

本帖最后由 Kslr 于 2019-3-31 04:19 编辑

https://github.com/nextcloud/server/issues/14594
https://github.com/nextcloud/documentation/pull/674

https://github.com/nextcloud/server/issues/13010
https://github.com/nextcloud/server/issues?utf8=%E2%9C%93&q=+Referrer-Policy

这个论坛你是不会有答案的

夜桜

Kslr 发表于 2019-3-31 04:13

https://github.com/nextcloud/server/issues/14594
https://github.com/nextcloud/documentation/pull/674 ...
谢谢你为我去查了资料orz
我觉得

"

这个链接蛮有用
但是...我们用的是Nginx，在根目录下的 .htaccess 真的有用吗？ Nginx配置文件也并没有引用这个文件。
实测似乎是没用的，我把 .htaccess 删了也不会有任何的改变...
另外的链接都是Apache，提到了二次set header的问题。
但是我用的是nginx，也没有在其他地方set过这个header
那么我并没有2次set header
然而出现了这个问题

感觉BUG...

-----------

再次检查header
发现之前查header只查了 https://域名/ 就只有一个
然后这次又查了 https://域名/index.php 的确发现有2个 Referrer-Policy: no-referrer

那么问题来了，我都把.htaccess 删了 那么别的配置是从哪里来的呢。。。？

"

Kslr

夜桜 发表于 2019-3-31 05:57

谢谢你为我去查了资料orz
我觉得  这个链接蛮有用
但是...我们用的是Nginx，在根目录下的 .htaccess 真的 ...
程序自动添加了，看第一个PR

Evan

本帖最后由 Evan 于 2019-3-31 08:54 编辑

是的，新版会自动加。我之前安装的发现每个header有3条，发现程序加了一个，源服务器的nginx加了一个，反带服务器又加一个