Imposta 'Referrer-Policy' => 'same-origin'

OrkoGrayskull · 6 Ottobre 2022, 9:42am

Ciao,

Voglio impostare l’header ‘Referrer-Policy’ su ‘same-origin’. Questo non può essere fatto tramite nginx, perché è impostato tramite Redis/Rails.

Il default sembra essere:
Referrer-Policy' => 'strict-origin-when-cross-origin'

È possibile cambiarlo in:
Referrer-Policy' => 'same-origin'

Non sono riuscito a trovare la stringa all’interno/all’esterno del container.

OrkoGrayskull · 10 Ottobre 2022, 2:32pm

Sì. Stupido. Non stavo cercando nel posto giusto.

Ho trovato molte voci di
Referrer-Policy' => 'strict-origin-when-cross-origin'

Ecco un elenco (grep strict-origin-when-cross-origin /var/www/discourse/ -R):

/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: default_options :referrer_policy => ‘strict-origin-when-cross-origin’
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/generators/rails/app/templates/config/initializers/new_framework_defaults_7_0.rb.tt:# “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/application/configuration.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/actionpack-7.0.3.1/lib/action_dispatch/railtie.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: default_options referrer_policy: ‘strict-origin-when-cross-origin’
/var/www/discourse/config/initializers/new_framework_defaults_7_0.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/f6/fc077900e2584e: binary file matches
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/8a/029cf0d9c06e6d: binary file matches
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/25/d90a345e4f734e: binary file matches

Non so davvero dove impostare same-origin. Qualche suggerimento?

RGJ · 10 Ottobre 2022, 4:31pm

Molto brutta modifica qui ma
potresti risolverlo in nginx aggiungendo un proxy_hide_header e seguito dal tuo add_header

OrkoGrayskull · 10 Ottobre 2022, 6:58pm

Sì, brutta scorciatoia. Non mi piace.

OrkoGrayskull · 14 Ottobre 2022, 1:48pm

Qualsiasi aiuto Herr, qual è il posto giusto che viene utilizzato in produzione?

Argomento		Risposte	Visualizzazioni
Allow customization of Referrer-Policy Feature	3	1111	Gennaio 18, 2019
Harden Referrer-Policy Header Feature	10	1757	Ottobre 25, 2018
Option to remove the referrer for external links Feature	4	884	Maggio 18, 2022
No 'Access-Control-Allow-Origin' header is present despite setting DISCOURSE_ENABLE_CORS: true Support	7	1568	Ottobre 28, 2021
Adding HTTP Headers to Plugin in Development Dev	3	862	Maggio 18, 2020

Imposta 'Referrer-Policy' => 'same-origin'

Argomenti correlati