Webhosting nginx härten mit Additional headers

  • hallo,


    ich habe nun versucht eine Antwort auf meine frage zu finden jedoch scheint dies keiner je gefragt zu haben. Nun für mich verständlich da sich Webhosting Kunden nicht unbedingt Gedanken um die Sicherheit machen so wie Server-Kunden. Nun hab ich beides und lasse aus unterschiedlichen Gründen auf beiden Nginx laufen und möchte aber beide sicher haben.


    Auf meinem Server (natrülich auch von netcup) habe ich nginx etwas gehärtet und verwende folgende Einstellungen:


    Code
      add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
      add_header Content-Security-Policy "default-src 'self';" always;
      add_header X-Frame-Options "SAMEORIGIN";
      add_header X-XSS-Protection "1; mode=block";
      add_header X-Content-Type-Options nosniff;


    im WCP vom Webhosting habe ich bei "Additional headers" folgendes eingetragen:

    X-Frame-Options "SAMEORIGIN";

    Strict-Transport-Security "max-age=31535000; includeSubDomains";

    X-Content-Type-Options nosniff;

    X-XSS-Protection "1; mode=block";

    Content-Security-Policy "default-src 'self'";


    soweit so gut.

    Kontrolliere ich nun die Einträge über https://www.htbridge.com/websec/ erhalte ich ungütige Werte bei den Headern.


    hier das Ergebnis für Webhosting-Einstellungen

    headers.png


    Beim gleichen Test des Servers erhalte ich aber ein A+ Ergebnis.


    Kann mir jemand helf

  • Ich rate mal und sage, dass das WCP die Header in einem anderen Format erwartet. Also ohne Anführungszeichen und Semikolon.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Plesk erwartet die Header im Format Name: Wert  siehe Handbuch.


    RDS1 Strict-Transport-Security: max-age=15552000;includeSubDomains ohne Leerzeichen zwischen max-age und includeSubDomains klappts. Dann interpretiert Plesk die beiden als zusammenhängender Wert, der auch ausgeliefert wird.