Définir 'Referrer-Policy' à 'same-origin'

Soutien Installation
1

Bonjour,

Je souhaite définir l’en-tête ‘Referrer-Policy’ sur ‘same-origin’. Cela ne peut pas être fait via nginx, car il est défini via Redis/Rails.

Par défaut, il semble que :
Referrer-Policy' => 'strict-origin-when-cross-origin'

Est-il possible de le changer en :
Referrer-Policy' => 'same-origin'

Je n’ai pas pu trouver la chaîne de caractères à l’intérieur ou à l’extérieur du conteneur. :roll_eyes:

2

Ouais. Stupide. Je ne cherchais pas au bon endroit.

J’ai trouvé de nombreuses entrées de
Referrer-Policy' => 'strict-origin-when-cross-origin'

Voici une liste (grep strict-origin-when-cross-origin /var/www/discourse/ -R) :

  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: La politique à utiliser (par défaut : ‘strict-origin-when-cross-origin’)
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: default_options :referrer_policy => ‘strict-origin-when-cross-origin’
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/generators/rails/app/templates/config/initializers/new_framework_defaults_7_0.rb.tt:# “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/application/configuration.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/actionpack-7.0.3.1/lib/action_dispatch/railtie.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: La politique à utiliser (par défaut : ‘strict-origin-when-cross-origin’)
  • /var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: default_options referrer_policy: ‘strict-origin-when-cross-origin’
  • /var/www/discourse/config/initializers/new_framework_defaults_7_0.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/f6/fc077900e2584e: fichier binaire correspondant
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/8a/029cf0d9c06e6d: fichier binaire correspondant
  • grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/25/d90a345e4f734e: fichier binaire correspondant

Je ne sais vraiment pas où définir same-origin. Des indices ?

3

Très vilaine astuce ici mais
vous pourriez résoudre cela dans nginx en ajoutant un proxy_hide_header suivi de votre propre add_header

4

Ouais, sale bidouille. J’aime pas ça. :wink:

5

Toute aide Herr, quel est l’endroit approprié qui est utilisé en production ?

6

Une solution de contournement légèrement moins désagréable consiste à insérer ceci dans la partie <head> HTML d’un composant de thème personnalisé :

<meta name="referrer" content="same-origin">

Cela ne supprime pas l’en-tête HTTP, et je n’ai trouvé aucune information définitive sur la façon dont l’en-tête HTTP écrase la balise méta HTML ou vice-versa, mais au moins, selon un test rapide avec whatsmyreferer.com, cela semble fonctionner : aucun en-tête d’expéditeur n’est plus envoyé sur les liens sortants.