gixy/docs/ru/plugins/validreferers.md

[valid_referers] none in valid_referers

Модуль ngx_http_referer_module позволяет блокировать доступ к сервису для запросов с неверными значениями заголовка запроса Referer. Зачастую используется для условного выставления заголовка X-Frame-Options (защита от ClickJacking), но могут быть и иные случаи.

Типичные проблемы при конфигурировании этого модуля:

• использование server_names при не корректном имени сервера (директива server_name);
• слишком общие и/или не корректные регулярные выражения;
• использование none.

На текущий момент, Gixy умеет определять только использование none в качестве валидного реферера.

Чем плох none?

Согласно документации:

none - поле “Referer” в заголовке запроса отсутствует;

Однако, важно помнить, что любой ресурс может заставить браузер пользователя выполнить запрос без заголовка запроса Referer, к примеру:

• в случае редиректа с HTTPS на HTTP;
• указав соответствующую Referrer Policy;
• обращение с opaque origin, например, используя схему data:.

Таким образом, используя none в качестве валидного реферера вы сводите на нет любые попытки валидации реферера.