Header Content-Security-Policy wird ignoriert

    Hallo,


    ich habe ein Webhosting Produkt und eine Frage zur Konfiguration von HTTP-Headern. In meiner .htaccess habe ich Caching-Direktiven implementiert, die funktionieren bzw. gelesen werden. Nun habe ich heute versucht, eine Content-Security-Policy hinzuzufügen, aber diese taucht nicht als Response-Header auf. Lokal auf meinem Apache funktioniert es hingegen.


    Kann mir jemand sagen, warum der Header nicht gelesen oder ignoriert wird?


    Hier meine .htaccess:


    RewriteEngine on


    <FilesMatch "\.(html|htm|)$">

    Header set Cache-Control "max-age=650, private"

    Header Set Strict-Transport-Security: max-age=10886400;

    </FilesMatch>


    <FilesMatch "\.(gif|ico|jpg|jpeg|png|css|js|otf)$">

    Header set Cache-Control: "max-age=31536000, immutable"

    </FilesMatch>


    Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.jsdelivr.net https://cdnjs.cloudflare.com https://unpkg.com/ 'sha256-L6mJ36ukaM18ZzG1+B5/c8uUvdMsFHssceOWy3/93g0='; style-src 'self' https://unpkg.com/ 'sha256-p6mA130cDc4HStcM59w4BqV/qpvgY7ZMDK0IMyF0VKk='; img-src 'self'"

  • dhartyang

    Changed the title of the thread from “Header Content-Security-Policy wird ingoriert” to “Header Content-Security-Policy wird ignoriert”.
    Quote from dhartyang

    Kann mir jemand sagen, warum der Header nicht gelesen oder ignoriert wird?

    Weil vermutlich der Haken bei "Intelligente Bearbeitung statischer Dateien" gesetzt ist. Dadurch werden einige Dateien direkt von nginx ausgeliefert und Apache kommt gar nicht zum Zug um Header zu setzen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 3

    @m3um25z

    Quote from m3um25z

    Warum trägst du den Header nicht direkt im WCP ein? Hosting und DNS -> Apache & nginx -> Zusätzliche Header.

    Wenn ich den Eintrag dort hinterlege, wird der Header tatsächlich gesendet. Danke. Dennoch eine Gegenfrage:


    Wieso funktioniert es nicht mit der .htaccess? So wie Du das formulierst, klingt es, als wäre es offensichtlich besser, den Header in der Adminoberfläche zu hinterlegen. Mir erschließt sich aber zunächst mal nicht, warum man darauf kommen sollte bzw. was gegen die .htaccess spricht?

    Quote from Virinum

    Weil vermutlich der Haken bei "Intelligente Bearbeitung statischer Dateien" gesetzt ist. Dadurch werden einige Dateien direkt von nginx ausgeliefert und Apache kommt gar nicht zum Zug um Header zu setzen.

    Das hat tatsächlich keinen Unterscheid gemacht, sowohl wenn der Header in der .htaccess, als auch wenn er in der Adminoberfläche (siehe vorherige Antwort) hinterlegt ist.

    Quote from dhartyang

    Das hat tatsächlich keinen Unterscheid gemacht, sowohl wenn der Header in der .htaccess, als auch wenn er in der Adminoberfläche (siehe vorherige Antwort) hinterlegt ist.

    Hast du lang genug gewartet? Das dauert ein paar Minuten, bis die Änderung übernommen wird. Bin mir ziemlich sicher, dass es an der intelligenten Bearbeiten liegt. nginx wertet die .htaccess-Datei ja nicht aus. Das macht Apache.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Quote from Virinum

    Hast du lang genug gewartet? Das dauert ein paar Minuten, bis die Änderung übernommen wird. Bin mir ziemlich sicher, dass es an der intelligenten Bearbeiten liegt. nginx wertet die .htaccess-Datei ja nicht aus. Das macht Apache.

    Ja, darauf habe ich geachtet. Ich werde es aber zur Sicherheit bzw. aus Neugierde noch einmal überprüfen und ggf. nochmal Bescheid geben. Das Problem selbst hat sich ja allerdings durch den Eintrag im WCP lösen lassen, wie im anderen Kommentar erläutert.