Nextcloud 配置安全性 - Referrer-Policy 的奇怪现象,求大佬解惑。


总所周知
Nextcloud装完后后台检查安全性一大堆提示
我早在很久之前就已经全部解决过了,还写了一篇教程教人怎么解决。

可笑的是。。。

现在我自己出问题了

全新装完优化完后 后台显示有一个错误:

  1. The "Referrer-Policy" HTTP header is not set to "no-referrer", "no-referrer-when-downgrade", "strict-origin" or "strict-origin-when-cross-origin". This can leak referer information. See the W3C Recommendation ↗.
复制代码


我看我以前自己写的教程,说的是 在nginx配置文件里加入
  1. add_header Referrer-Policy "no-referrer";
复制代码

我检查了一下自己的配置文件,我明明就有这一句啊。

然后我继续搜索,跟问其他也一样解决了所有问题的朋友。得到的答案也全部是加入这一句就好了。

问题是。。。。。。我他喵的有加啊!!!

然后我就很生气,把这一行给删了,重新载入配置,刷新。

All checks passed.


我!.................他喵的你这是在逗我........?

有没有懂的大佬解释一下为什么会这样......
加进去了反而有提示......

在线等。




感谢 @Kslr 的帮助。解决方法的确是从Nginx配置文件里删掉那行就好了。
可能原因大概是以前版本的Nextcloud没有内置这些配置,所以要自己手动添加。
随着NC版本升级,已经内置了这个配置,导致Nginx里添加后产生2次 add_header Referrer-Policy "no-referrer"; 导致了这个问题
但是提示文字是 “is not set to” 应该算是BUG?
西藏网友:即使你的配置有,也应该检查header
因为add_header在location仅单一有效
澳门网友: 用检查header的网站检查了一下。
有 Referrer-Policy: no-referrer 的header的话
nextcloud后台就提示 The "Referrer-Policy" HTTP header is not set to "no-referrer", "no-referrer-when-downgrade", "strict-origin", "strict-origin-when-cross-origin" or "same-origin". This can leak referer information. See the W3C Recommendation ↗.

检查header 里没有 Referrer-Policy: no-referrer
后台就提示all checks passed
江西网友:
https://github.com/nextcloud/server/issues/14594
https://github.com/nextcloud/documentation/pull/674

https://github.com/nextcloud/server/issues/13010
https://github.com/nextcloud/server/issues?utf8=%E2%9C%93&q=+Referrer-Policy

这个论坛你是不会有答案的
澳门网友: 谢谢你为我去查了资料orz
我觉得
https://github.com/nextcloud/server/issues/13010
这个链接蛮有用
但是...我们用的是Nginx,在根目录下的 .htaccess 真的有用吗? Nginx配置文件也并没有引用这个文件。
实测似乎是没用的,我把 .htaccess 删了也不会有任何的改变...
另外的链接都是Apache,提到了二次set header的问题。
但是我用的是nginx,也没有在其他地方set过这个header
那么我并没有2次set header
然而出现了这个问题

感觉BUG...

-----------

再次检查header
发现之前查header只查了 https://域名/ 就只有一个
然后这次又查了 https://域名/index.php 的确发现有2个 Referrer-Policy: no-referrer

那么问题来了,我都把.htaccess 删了 那么别的配置是从哪里来的呢。。。?

This works on nc14, on nc15.0.2 you will get this warning if you have the header set twice.

Details: If you have: "add_header Referrer-Policy no-referrer always;" in your (nginx) reverse proxy as well, you will have two entrys of "referrer-policy: no-referrer" in your header and nc15 don't like this for some reason.

I solved this by adding: "proxy_hide_header Referrer-Policy;" to the proxy part to remove one of the two entrys.

台湾网友: 程序自动添加了,看第一个PR
江西网友:
是的,新版会自动加。我之前安装的发现每个header有3条,发现程序加了一个,源服务器的nginx加了一个,反带服务器又加一个
未经允许不得转载:开心小站长 » Nextcloud 配置安全性 - Referrer-Policy 的奇怪现象,求大佬解惑。

相关推荐

留言与评论(共有 0 条评论)
   
验证码: