Definir 'Referrer-Policy' => 'same-origin'

OrkoGrayskull · Outubro 6, 2022, 9:42am

Olá,\n\nQuero definir o ‘Referrer-Policy header’ para ‘same-origin’. Isso não pode ser feito via nginx, pois é definido via Redis/Rails.\n\nO padrão parece ser:\nReferrer-Policy' => 'strict-origin-when-cross-origin'\n\nÉ possível alterar para:\nReferrer-Policy' => 'same-origin'\n\nNão consegui encontrar a string dentro/fora do contêiner.

OrkoGrayskull · Outubro 10, 2022, 2:32pm

Sim. Estúpido. Eu não estava procurando no lugar certo.

Encontrei muitas entradas de
Referrer-Policy' => 'strict-origin-when-cross-origin'

Aqui está uma lista (grep strict-origin-when-cross-origin /var/www/discourse/ -R):

/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-2.2.2/lib/rack/protection/referrer_policy.rb: default_options :referrer_policy => ‘strict-origin-when-cross-origin’
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/generators/rails/app/templates/config/initializers/new_framework_defaults_7_0.rb.tt:# “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/railties-7.0.3.1/lib/rails/application/configuration.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/actionpack-7.0.3.1/lib/action_dispatch/railtie.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: # referrer_policy:: The policy to use (default: ‘strict-origin-when-cross-origin’)
/var/www/discourse/vendor/bundle/ruby/2.7.0/gems/rack-protection-3.0.2/lib/rack/protection/referrer_policy.rb: default_options referrer_policy: ‘strict-origin-when-cross-origin’
/var/www/discourse/config/initializers/new_framework_defaults_7_0.rb: “Referrer-Policy” => “strict-origin-when-cross-origin”
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/f6/fc077900e2584e: binary file matches
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/8a/029cf0d9c06e6d: binary file matches
grep: /var/www/discourse/tmp/cache/bootsnap/compile-cache-iseq/25/d90a345e4f734e: binary file matches

Eu realmente não sei onde definir same-origin. Alguma dica?

RGJ · Outubro 10, 2022, 4:31pm

Um hack muito desagradável aqui, mas
você poderia resolver isso no nginx adicionando um proxy_hide_header e, em seguida, o seu próprio add_header

OrkoGrayskull · Outubro 10, 2022, 6:58pm

Sim, uma tática desagradável. Não gosto disso.

OrkoGrayskull · Outubro 14, 2022, 1:48pm

Alguma ajuda, Herr, onde é o lugar certo que é usado em produção?

Tópico		Respostas	Visualizações
Allow customization of Referrer-Policy Feature	3	1111	18 de Janeiro de 2019
Harden Referrer-Policy Header Feature	10	1757	25 de Outubro de 2018
Option to remove the referrer for external links Feature	4	884	18 de Maio de 2022
No 'Access-Control-Allow-Origin' header is present despite setting DISCOURSE_ENABLE_CORS: true Support	7	1568	28 de Outubro de 2021
Adding HTTP Headers to Plugin in Development Dev	3	862	18 de Maio de 2020

Definir 'Referrer-Policy' => 'same-origin'

Tópicos relacionados