コメント欄にてアドバイスをいただいているので、そちらもご覧ください (2017/04/22)
こんにちは!こんにちは!
インスタンスリストのスコアが気になる
Mastodonのインスタンス管理者としては気になりますよね。
ただ、よくスコアとかわからないし、なんか自分のサイトのスコア低い・・・
そんなとき、まずはHTTPSに対応するかと思いますが、その次に行うのがObsの対応です。
あまりMastodon向けに記述されているドキュメントがなくてイラッとしたので、殴り書いておきます。
なお、この設定にしての責任は取れませんので自己責任でお願いします。
ObsをA+にする設定
/etc/nginx/conf.d/mastodon.confを編集します。
公式ガイドからnginxの設定をコピって貼り付けただけの人も多いと思います。
そこに add_header という記述があるので、そこを下記のように編集します。
add_header Strict-Transport-Security "max-age=31536000";
add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";
そして、さらに下記を追記します。
add_header Referrer-Policy "unsafe-url";
add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";
最終的には下記のようになっていれば大丈夫です。
add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";
add_header Referrer-Policy "unsafe-url";
add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";
以上です。
注意点
この設定が正しいのかわかりませんが、一応現状A+で動いています。
また、設定を変えることで/aboutの説明欄にjavascriptを埋め込んでいる場合は無効化されます。
多分設定で変えられる(script-scr 'self'あたり)と思いますが、未検証です。
できれば本職の方にきちんとした設定を確認してもらいたいのでたたき台にしてもらえればと思います。
これじゃダメだよ!ってつっこみ、お待ちしてます。