use Content-Security-Policy instead of old X-Frame-Options
authorRalf Jung <post@ralfj.de>
Sat, 26 Dec 2020 11:21:41 +0000 (12:21 +0100)
committerRalf Jung <post@ralfj.de>
Sat, 26 Dec 2020 11:21:41 +0000 (12:21 +0100)
roles/apache/templates/security.conf
roles/apache/templates/ssl.conf

index adefdd8a77ba8de51ba56d49fed068c584abcc6f..9334c367c889e83453b38fb12c0902e4206e96a0 100644 (file)
@@ -59,7 +59,7 @@ Header set X-Content-Type-Options: "nosniff"
 # site as frames. This defends against clickjacking attacks.
 # Requires mod_headers to be enabled.
 #
 # site as frames. This defends against clickjacking attacks.
 # Requires mod_headers to be enabled.
 #
-Header set X-Frame-Options: "sameorigin"
+Header add Content-Security-Policy "frame-ancestors 'self'"
 
 
 # vim: syntax=apache ts=4 sw=4 sts=4 sr noet
 
 
 # vim: syntax=apache ts=4 sw=4 sts=4 sr noet
index fd99e1f99e827983e861ae473377b6993cd2f182..5fa87c39c424e28bb2f9f17fce0a06687c1072b5 100644 (file)
@@ -17,7 +17,7 @@
     Header unset Strict-Transport-Security
     Header set Strict-Transport-Security "max-age=864000"
     # Make sure we load everything via HTTPS
     Header unset Strict-Transport-Security
     Header set Strict-Transport-Security "max-age=864000"
     # Make sure we load everything via HTTPS
-    Header set Content-Security-Policy "upgrade-insecure-requests"
+    Header add Content-Security-Policy "upgrade-insecure-requests"
 
     #########################################################
     # SSL configuration below ###############################
 
     #########################################################
     # SSL configuration below ###############################