OS: Ubuntu Server 18.04.1 LTS
Apache 2.4.34
ownCloud Server 10.0.10.4
ownCloudの設定画面にある「管理」の中の「一般」という項目へアクセスすると、セキュリティ&セットアップ警告が幾つか表示されていた。
そのうちの
“X-Frame-Options” HTTP ヘッダは “SAMEORIGIN” に設定されていません。これは潜在的なセキュリティリスクもしくはプライバシーリスクとなる可能性があるため、この設定を見直すことをおすすめします。
に対応してゆく。然し乍ら、とうにhttpd.confへ記述を済ませているのに、こはいかにとおもう。
$ grep 'SAMEORIGIN' /usr/local/apache2/conf/httpd.conf Header always append X-Frame-Options "SAMEORIGIN"
すみずみまで点検しているとownCloudが用意して呉れた.htaccessでも似たような設定が記載されているのを発見した。
$ cat public_html/owncloud/.htaccess
Header set X-Frame-Options "SAMEORIGIN"
どうやらhttpd.confと.htaccessの二つの設定が混じり合ってX-Frame-Optionsヘッダが変梃りんな応答になっていた。これが原因でせっかくの設定が仇になり、件のセキュリティ&セットアップ警告が表示されたようである。
ひとまず.htaccessの Header set X-Frame-Options "SAMEORIGIN"をコメントアウトすることで警告が現れなくなった。
