none in valid_referers¶
Gixy Check ID: valid_referrers
Модуль ngx_http_referer_module позволяет блокировать доступ к сервису для запросов с неверными значениями заголовка запроса Referer.
Зачастую используется для условного выставления заголовка X-Frame-Options (защита от ClickJacking), но могут быть и иные случаи.
Типичные проблемы при конфигурировании этого модуля:
* использование server_names при не корректном имени сервера (директива server_name);
* слишком общие и/или не корректные регулярные выражения;
* использование none.
На текущий момент, Gixy умеет определять только использование
noneв качестве валидного реферера.
Чем плох none?¶
Согласно документации:
none- поле “Referer” в заголовке запроса отсутствует;
Однако, важно помнить, что любой ресурс может заставить браузер пользователя выполнить запрос без заголовка запроса Referer, к примеру:
- в случае редиректа с HTTPS на HTTP;
- указав соответствующую Referrer Policy;
- обращение с opaque origin, например, используя схему data:.
Таким образом, используя none в качестве валидного реферера вы сводите на нет любые попытки валидации реферера.