OS: Ubuntu Server 18.04.1 LTS
Apache 2.4.34
ownCloud Server 10.0.10.4
ownCloudの設定画面にある「管理」の中の「一般」という項目へアクセスするとセキュリティ&セットアップ警告が幾つか表示されている。
そのうちの
“X-Frame-Options” HTTP ヘッダは “SAMEORIGIN” に設定されていません。これは潜在的なセキュリティリスクもしくはプライバシーリスクとなる可能性があるため、この設定を見直すことをおすすめします。
に対応してゆく。然し乍らクリックジャッキング攻撃を避けられるという宣伝に乗ってとうにhttpd.confへ記述を済ませているのに此は如何にとおもう。
$ grep 'SAMEORIGIN' /usr/local/apache2/conf/httpd.conf Header always append X-Frame-Options "SAMEORIGIN"
すみずみまで点検しているとownCloudが用意して呉れた.htaccessでも同じ目的の達成を目標として瓜二つの設定が記載されていた。
$ cat public_html/owncloud/.htaccess Header set X-Frame-Options "SAMEORIGIN"
どうやらhttpd.confと.htaccessの二つの設定が混じり合ってX-Frame-Optionsヘッダが変梃りんな応答になってしまう模様である。これが原因で件のセキュリティ&セットアップ警告が表示されている。
ひとまず.htaccessの Header set X-Frame-Options "SAMEORIGIN"
をコメントアウトすることで警告が現れなくなった。
参考:
X-Frame-Options – HTTP | MDN
Apache Module mod_headers