Toquitear este archivito clave en un servidor web es un infierno en vida.
A la mínima te cargas lo que no está escrito.
Es una pesadilla sobre la que he tenido que aprender algo para que estas webs que manejo desde hace décadas dejen de dar problemas en el «rating» de webs sospechosas.
Ahora tengo esta versión instalada que no tengo muy claro que sea la que tengo que tener, pero al menos es funcional (aunque todas las webs parecen ir más lentas), además de tener mejor fama (Rating A) según https://securityheaders.com/
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> <IfModule mod_headers.c> # Tell the browser to attempt the HTTPS version first Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Frame-Options para mejorar la seguridad # X-Frame-Options Header set X-Frame-Options "SAMEORIGIN" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos # X-Content-Type-Options Header set X-Content-Type-Options "nosniff" # Control Cross-Domain Policies # Header set X-Permitted-Cross-Domain-Policies "master-only" ## Cabecera Content-Security-Policy # Header set Content-Security-Policy "script-src 'self'" # Referrer-Policy Header set Referrer-Policy "same-origin" # Features-Policy # Header set Feature-Policy "geolocation 'self'; vibrate 'none'" # Permissions-Policy Header set Permissions-Policy "camera=(), microphone=(), geolocation=(), fullscreen=()" </IfModule> # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod"
Ahora ha dejado de funcionar todo lo relacionado con Piwigo, pero ya no sé si quiero arreglarlo o mandarlo a la mierda.