LoL-Scout | deutschsprachige League of Legends Forum

Wie geschrieben, ich nutze Managed Webspace. Da kann ich nicht viel tun.

Habe das aber mit meinem Hoster nun geklärt und so sollte es bei mir passen.

Guten abend zusammen

Zitat von PoooMukkel

[...]Bei mir sieht das leider fast genau so aus. Bis eben hatte ich von diesen Security-Headers nicht mal etwas gehört. Sie waren mir vollkommen unbekannt.

Willkommen im Club, ....aber man lernt ja nie aus.

Bei gewissen Themen, wie diesen, verspürt man dann schon fast eine Art "gruppenzwang" oder?

Aber Scherz bei Seite... 100% dito

Zitat von Felix | D1strict

Hallo,

Und die Liste geht auch noch weiter... .

Vielleicht mal die oben gezeigten Header setzen? So sieht das Ergebnis bspw. bei mir aus: https://securityheaders.com/?q….de%2F&followRedirects=on

Ich wünsche dir dennoch viel Erfolg, auf dass es dieses Mal beständiger ist.

Viele Grüße,

Felix

Alles anzeigen

Guten abend, du scheinst dich mit dem Thema gut auszukennen.

Ohne das Thema jetzt hijacken zu wollen, ich hätte da eine Frage zu. Ich habe mir für meinen Apache Server nun folgende Konfiguration in der httpd.conf hinterlegt:

  <IfModule mod_headers.c>
  <Directory />
    Header always set X-XSS-Protection "1; mode=block"
    Header always set x-Frame-Options "SAMEORIGIN"
    Header always set X-Content-Type-Options "nosniff"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self'; connect-src *; font-src *; frame-src *; img-src * data:; media-src *; object-src *; script-src * 'unsafe-inline' 'unsafe-eval'; style-src * 'unsafe-inline';"
    Header always set Referrer-Policy "strict-origin"
  </Directory>
</IfModule>

Damit komme ich aber auch "nur" auf:

Hast du da evtl. eine Idee?

mfg

Hallo,

da fehlt die Permissions-Policy. Dieser Header ist dafür, um (nicht wie die meißten anderen Header) die jeweilige Seite zu schützen, sondern in dem Fall den Benutzer. Mit dem Header kann man den Einsatz bspw. der Kamera, des Mikrofons usw. unterbinden.

Bspw. so:

Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=(), interest-cohort=()"

Zitat von JayOnRails

Wie Bibini schon damals schrieb: die Fülle an Inhalten ist da halt einfach nicht da und dann läuft es vermutlich wieder aufs selbe raus...

Noch schlimmer als gar keine Inhalte sind Inhalte die man von anderen Projekten kopiert. Aber ich will hier nun kein Stress vom Zaun brechen.