В http-блоке файла /etc/nginx/nginx.conf я указал следующее:
add_header X-Content-Type-Options nosniff always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-XSS-Protection "1; mode=block" always;
Но теперь заголовки добавляются только по HTTP-запросам, а не по HTTPS.
Кто-нибудь знает, как это изменить без записывать это в каждый файл конфигурации?
Из руководство:
Эти директивы наследуются от предыдущего уровня тогда и только тогда, когда на текущем уровне не определены директивы add_header.
Лучшее решение - поместить общие операторы в отдельный файл и использовать include заявление.
Вы можете использовать include заявление на http уровень блока, а затем повторите его в любых блоках, которые требуют дополнительных add_header заявления.