Я использую Ubuntu 18.04 LTS и немного озадачен настройкой этих двух параметров заголовка:
В файле security.conf, расположенном в каталоге conf-available, настройки закомментированы, т.е.
#Header set X-Content-Type-Options: "nosniff"
и
#Header set X-Frame-Options: "sameorigin"
Когда я устанавливаю эти два на своих отдельных виртуальных хостах с
<IfModule mod_headers.c>
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
</IfModule>
установка прерывается, т.е. недопустимый заголовок отправляется как
"ОТКАЗАТЬ, САМЕОРИГИН"
и
"носнифф, носнифф"
соответственно.
Интересно, почему это дублирование появляется, когда сервер добавляет второе значение к моему конкретно указанному значению, хотя оно не установлено в конфигурации (по крайней мере, я не знаю), а на соответствующем виртуальном хосте.
Есть ли способ предотвратить это и указать эти две опции на виртуальном хосте, которые переопределяют все, что может быть установлено централизованно для сервера?
Как всегда, большое спасибо за вашу помощь и подсказки.
PS Я исследовал вопросы, похожие на этот, но все они не касались того, почему эти два всегда генерируются и как переопределить на базах виртуального хоста.