Im Zeitraum vom 09.04.2024 - 28.03.2025 ist der Support eingeschränkt. In dem genannten Zeitraum, befinde ich mich auf einer Weiterbildung.
Hallo,
wie und wo kann ich die Vorgaben für den Security Header im CloudPanel 2.4.2 anpassen um beim Test von C auf A+ zu kommen. Zumal ich auch schon von Grund auf bei X-Frame-Options und X-Content-Type-Options doppelte Einträge habe. Vielleicht hat jemand eine kleine Anleitung für die Anpassung. Danke schon mal! 
Wie sieht denn deine vhost aus?
Nutzt du varnish als Cache?
Die meisten unserer Anleitungen basieren auf einem Hetzner Cloud-Server.
Mit unserem Link sichert Ihr Euch nicht nur 20 € Startguthaben, sondern könnt uns damit unterstützen.
Ich poste die morgen eine angepasste vhost
Hier ist das vHost-Template.
server {
listen 80;
listen [::]:80;
listen 443 quic;
listen 443 ssl;
listen [::]:443 quic;
listen [::]:443 ssl;
http2 off;
http3 on;
{{ssl_certificate_key}}
{{ssl_certificate}}
{{server_name}}
{{root}}
{{nginx_access_log}}
{{nginx_error_log}}
if ($scheme != "https") {
rewrite ^ https://$host$uri permanent;
}
# Enable gzip but do not remove ETag headers
gzip on;
gzip_vary on;
gzip_comp_level 4;
gzip_min_length 256;
gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;
# set max upload size and increase upload timeout:
client_max_body_size 512M;
client_body_timeout 300s;
fastcgi_buffers 64 4K;
# header section
add_header Alt-Svc 'h3=":443"; ma=864000';
add_header X-XSS-Protection "1; mode=block";
add_header Permissions-Policy "camera=(), geolocation=(), microphone=(), payment=(), interest-cohort=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Referrer-Policy "same-origin" always;
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-site" always;
add_header Content-Security-Policy "upgrade-insecure-requests" always;
location / {
index index.php;
try_files $uri $uri/ @rewrite;
}
location @rewrite {
rewrite ^/(forum/|cms/|wcf/|calendar/|filebase/|blog/|gallery/)?([^.]+)$ /$1index.php?$2 last;
}
location ~ /.well-known {
auth_basic off;
allow all;
}
{{settings}}
try_files $uri $uri/ /index.php?$args;
index index.php index.html;
location ~ \.php$ {
include fastcgi_params;
fastcgi_intercept_errors on;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
try_files $uri =404;
fastcgi_read_timeout 3600;
fastcgi_send_timeout 3600;
fastcgi_param HTTPS $fastcgi_https;
fastcgi_pass 127.0.0.1:{{php_fpm_port}};
fastcgi_param PHP_VALUE "{{php_settings}}";
}
location ~* ^.+\.(css|js|jpg|jpeg|gif|png|ico|gz|svg|svgz|ttf|otf|woff|eot|mp4|ogg|ogv|webm|webp|zip|swf|woff2)$ {
add_header Access-Control-Allow-Origin "*";
expires max;
access_log off;
}
if (-f $request_filename) {
break;
}
}Varnish ist hier aktuell nicht integriert. Bedenke, dass es sich hierbei um ein Template handelt.
Vielen leiben Dank!
Bedenke, dass es sich hierbei um ein Template handelt.
Muss ich noch etwas anpassen, oder was gilt es zu bedenken?
Vielen leiben Dank!
Muss ich noch etwas anpassen, oder was gilt es zu bedenken?
Gern. Ja vergleiche am besten deine vhost mit meinem Template. Kopiere die Parts raus und ersetzte damit deine.
Die meisten unserer Anleitungen basieren auf einem Hetzner Cloud-Server.
Mit unserem Link sichert Ihr Euch nicht nur 20 € Startguthaben, sondern könnt uns damit unterstützen.
Ich habe mir jetzt die header section aus deiner vhost übernommen und siehe da A+ 
Noch eine Frage bezüglich http2 und http3. Macht es Sinn schon rein auf http3 zu setzten?
Ja. Du sorgst nur dafür, dass du ältere Browser nicht unterstützt. Kurz und knapp. Gibt noch viel mehr was http3 anders macht
Also ab mit den alten Zöpfen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
