Nextcloud-Fehler: "X-Robots-Tag" HTTP header is not set to "noindex, nofollow"
Nach dem Update der Nextcloud von 25.04 auf 25.05 (Nextcloud Hub 3) schlug der Sicherheitscheck fehl und monierte, dass der X-Robots-Tag
nicht auf noindex, nofollow
gesetzt und dass dies ein potenzielles Sicherheitsrisiko sei. Konkret hieß es: „This is a potential security or privacy risk, as it is recommended to adjust this setting accordingly.“
Nichts leichter als das. Eigentlich sind die Header von Nextcloud hart gecoded und werden automatisch richtig gesendet. Jedoch falls ein Proxy-Server dazwischen hängt, der alle Header selbst setzt, dann fehlen die richtigen Werte natürlich. Zudem scheint es eine tatsächlich Änderung gegeben zu haben. X-Robots-Tag
war früher auf "none"
gesetzt und damit war die selbst bei Nginx eingerichtete Korrektur im Server
-Bereich falsch.
Statt
add_header X-Robots-Tag "none" always;
muss es nun
add_header X-Robots-Tag "noindex, nofollow" always;
heißen.
Und damit sieht der Header-Teil für den Frontend nginx so aus:
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "noindex, nofollow" always;
add_header X-XSS-Protection "1; mode=block" always;
Näheres findet sich dazu auch im Handbuch von Nextcloud.