validreferers.md 2.0 KB

[valid_referers] none in valid_referers

Модуль ngx_http_referer_module позволяет блокировать доступ к сервису для запросов с неверными значениями заголовка запроса Referer. Зачастую используется для условного выставления заголовка X-Frame-Options (защита от ClickJacking), но могут быть и иные случаи.

Типичные проблемы при конфигурировании этого модуля:

  • использование server_names при не корректном имени сервера (директива server_name);
  • слишком общие и/или не корректные регулярные выражения;
  • использование none.

На текущий момент, Gixy умеет определять только использование none в качестве валидного реферера.

Чем плох none?

Согласно документации:

none - поле “Referer” в заголовке запроса отсутствует;

Однако, важно помнить, что любой ресурс может заставить браузер пользователя выполнить запрос без заголовка запроса Referer, к примеру:

  • в случае редиректа с HTTPS на HTTP;
  • указав соответствующую Referrer Policy;
  • обращение с opaque origin, например, используя схему data:.

Таким образом, используя none в качестве валидного реферера вы сводите на нет любые попытки валидации реферера.