Webhosting nginx härten mit Additional headers

  • hallo,


    ich habe nun versucht eine Antwort auf meine frage zu finden jedoch scheint dies keiner je gefragt zu haben. Nun für mich verständlich da sich Webhosting Kunden nicht unbedingt Gedanken um die Sicherheit machen so wie Server-Kunden. Nun hab ich beides und lasse aus unterschiedlichen Gründen auf beiden Nginx laufen und möchte aber beide sicher haben.


    Auf meinem Server (natrülich auch von netcup) habe ich nginx etwas gehärtet und verwende folgende Einstellungen:


    Code
    1. add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    2. add_header Content-Security-Policy "default-src 'self';" always;
    3. add_header X-Frame-Options "SAMEORIGIN";
    4. add_header X-XSS-Protection "1; mode=block";
    5. add_header X-Content-Type-Options nosniff;


    im WCP vom Webhosting habe ich bei "Additional headers" folgendes eingetragen:

    X-Frame-Options "SAMEORIGIN";

    Strict-Transport-Security "max-age=31535000; includeSubDomains";

    X-Content-Type-Options nosniff;

    X-XSS-Protection "1; mode=block";

    Content-Security-Policy "default-src 'self'";


    soweit so gut.

    Kontrolliere ich nun die Einträge über https://www.htbridge.com/websec/ erhalte ich ungütige Werte bei den Headern.


    hier das Ergebnis für Webhosting-Einstellungen

    headers.png


    Beim gleichen Test des Servers erhalte ich aber ein A+ Ergebnis.


    Kann mir jemand helf

  • Plesk erwartet die Header im Format Name: Wert siehe Handbuch.


    RDS1  Strict-Transport-Security: max-age=15552000;includeSubDomains ohne Leerzeichen zwischen max-age und includeSubDomains klappts. Dann interpretiert Plesk die beiden als zusammenhängender Wert, der auch ausgeliefert wird.

    Meine Produkte: VPS 2500 | RS 2000 Plus SAS G8 | VPS OsterEi 18 | Webhosting 16 Years | Webhosting Bestprice Classic