Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

nginx使用のMastodonでObsをA+にする

More than 3 years have passed since last update.

コメント欄にてアドバイスをいただいているので、そちらもご覧ください (2017/04/22)


こんにちは!こんにちは!

インスタンスリストのスコアが気になる

Mastodonのインスタンス管理者としては気になりますよね。
ただ、よくスコアとかわからないし、なんか自分のサイトのスコア低い・・・
そんなとき、まずはHTTPSに対応するかと思いますが、その次に行うのがObsの対応です。
あまりMastodon向けに記述されているドキュメントがなくてイラッとしたので、殴り書いておきます。

なお、この設定にしての責任は取れませんので自己責任でお願いします。

ObsをA+にする設定

/etc/nginx/conf.d/mastodon.confを編集します。
公式ガイドからnginxの設定をコピって貼り付けただけの人も多いと思います。
そこに add_header という記述があるので、そこを下記のように編集します。

add_header Strict-Transport-Security "max-age=31536000";
add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";

そして、さらに下記を追記します。

add_header Referrer-Policy "unsafe-url";
add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";

最終的には下記のようになっていれば大丈夫です。

add_header Strict-Transport-Security "max-age=31536000 ; includeSubdomains ; Preload ";
add_header Referrer-Policy "unsafe-url";
add_header Content-Security-Policy "frame-ancestors 'none'; object-src 'none'; script-src 'self'; base-uri 'none'";

以上です。

注意点

この設定が正しいのかわかりませんが、一応現状A+で動いています。
また、設定を変えることで/aboutの説明欄にjavascriptを埋め込んでいる場合は無効化されます。
多分設定で変えられる(script-scr 'self'あたり)と思いますが、未検証です。
できれば本職の方にきちんとした設定を確認してもらいたいのでたたき台にしてもらえればと思います。
これじゃダメだよ!ってつっこみ、お待ちしてます。

gc373
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away