Hallo zusammen,

ich habe ein kleines Verständnisproblem was die Konfiguration der verschiedenen Security Header (Content-Security-Policy, etc.) angeht...
Laut Beschreibung können header mit add_header in allen Kontexten (http, server, location) gesetzt werden. Also habe ich sie im server Block für die entsprechende Domain gesetzt. Allerdings wurden sie hier nicht angezogen... (Ja, nginx wurde neu gestartet ;-) )

Nach vielem Suchen (ohne brauchbares Ergebns) und Probieren, habe ich als (fast) letzten Ausweg nginx von stable auf mainline geupdated. Hat aber leider auch nix gebracht... Ein allerletzter Versuch brachte mich dazu, die header im location Block zu setzen. Jetzt funktioniert es!

Kann mir das bitte jemand erklären? Ich habe in dieser Domain ziemlich viele location Blöcke und irgendwie verstehe ich nicht, warum ich alles immer neu setzen soll, wenn es doch theoretisch auch auf server Block Ebene gehen soll. Oder übersehe ich da was?

Danke und Grüße
Oli