hallo,
ich habe nun versucht eine Antwort auf meine frage zu finden jedoch scheint dies keiner je gefragt zu haben. Nun für mich verständlich da sich Webhosting Kunden nicht unbedingt Gedanken um die Sicherheit machen so wie Server-Kunden. Nun hab ich beides und lasse aus unterschiedlichen Gründen auf beiden Nginx laufen und möchte aber beide sicher haben.
Auf meinem Server (natrülich auch von netcup) habe ich nginx etwas gehärtet und verwende folgende Einstellungen:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self';" always;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
im WCP vom Webhosting habe ich bei "Additional headers" folgendes eingetragen:
X-Frame-Options "SAMEORIGIN";
Strict-Transport-Security "max-age=31535000; includeSubDomains";
X-Content-Type-Options nosniff;
X-XSS-Protection "1; mode=block";
Content-Security-Policy "default-src 'self'";
soweit so gut.
Kontrolliere ich nun die Einträge über https://www.htbridge.com/websec/ erhalte ich ungütige Werte bei den Headern.
hier das Ergebnis für Webhosting-Einstellungen
Beim gleichen Test des Servers erhalte ich aber ein A+ Ergebnis.
Kann mir jemand helf