Setze 'Referrer-Policy' => 'same-origin'

Installation
1

Hallo,\n\nIch möchte den ‘Referrer-Policy’-Header auf ‘same-origin’ setzen. Dies kann nicht über nginx erfolgen, da er über Redis/Rails gesetzt wird.\n\nStandard ist anscheinend:\nReferrer-Policy' => 'strict-origin-when-cross-origin'\n\nIst es möglich, dies zu ändern zu:\nReferrer-Policy' => 'same-origin'\n\nIch konnte den String weder innerhalb noch außerhalb des Containers finden. :roll_eyes:

2

Ja. Dumm. Ich habe nicht am richtigen Ort gesucht.

Ich habe viele Einträge von
Referrer-Policy' => 'strict-origin-when-cross-origin'
gefunden.

Hier ist eine Liste (grep strict-origin-when-cross-origin /var/www/discourse/ -R):

  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: default_options :referrer_policy => ‘strict-origin-when-cross-origin’
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/generators/rails/app/templates/config/initializers/new_framework_defaults_7_0.rb.tt:# “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/application/configuration.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/actionpack-7.0.3.1/lib/action_dispatch/railtie.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: default_options referrer_policy: ‘strict-origin-when-cross-origin’
  • /var/www/discourse/config/initializers/new_framework_defaults_7_0.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/f6/fc077900e2584e: binary file matches
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/8a/029cf0d9c06e6d: binary file matches
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/25/d90a345e4f734e: binary file matches

Ich weiß wirklich nicht, wo ich same-origin einstellen soll. Irgendwelche Hinweise?

3

Sehr fieser Hack hier, aber
Sie könnten dies in nginx lösen, indem Sie ein proxy_hide_header hinzufügen und darauf ein eigenes add_header folgen lassen.

4

Ja, fiese Hackerei. Das gefällt mir nicht. :wink:

5

Gibt es Hilfe, Herr, wo ist der richtige Ort, der in der Produktion verwendet wird?