6
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

nginx使用のMastodonでObsをA+にする

Last updated at Posted at 2017-04-21

コメント欄にてアドバイスをいただいているので、そちらもご覧ください (2017/04/22)


こんにちは!こんにちは!

#####インスタンスリストのスコアが気になる
Mastodonのインスタンス管理者としては気になりますよね。
ただ、よくスコアとかわからないし、なんか自分のサイトのスコア低い・・・
そんなとき、まずはHTTPSに対応するかと思いますが、その次に行うのがObsの対応です。
あまりMastodon向けに記述されているドキュメントがなくてイラッとしたので、殴り書いておきます。

なお、この設定にしての責任は取れませんので自己責任でお願いします。

#####ObsをA+にする設定
/etc/nginx/conf.d/mastodon.confを編集します。
公式ガイドからnginxの設定をコピって貼り付けただけの人も多いと思います。
そこに add_header という記述があるので、そこを下記のように編集します。

add_header Strict-Transport-Security "max-age=31536000";
add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";

そして、さらに下記を追記します。

  add_header Referrer-Policy "unsafe-url";
  add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";

最終的には下記のようになっていれば大丈夫です。

  add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";
  add_header Referrer-Policy "unsafe-url";
  add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";

以上です。

#####注意点
この設定が正しいのかわかりませんが、一応現状A+で動いています。
また、設定を変えることで/aboutの説明欄にjavascriptを埋め込んでいる場合は無効化されます。
多分設定で変えられる(script-scr 'self'あたり)と思いますが、未検証です。
できれば本職の方にきちんとした設定を確認してもらいたいのでたたき台にしてもらえればと思います。
これじゃダメだよ!ってつっこみ、お待ちしてます。

6
7
6

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?