Vinnaren i pepparkakshustävlingen!
2017-11-07, 15:14
  #1
Medlem
Hej,
Just nu kör jag strict-origin-when-cross-origin som Referrer Policy men jag funderar lite fall om man kanske skall köra på någon annan?
Vilken är egentligen säkrast att köra med?

Inte för att jag tror att det spelar roll men jag kör NGINX på min server.
Citera
2017-11-07, 15:26
  #2
Medlem
.Chloes avatar
Strict-Origin eftersom då kommer referrer enbart skickas inom origin om den är säker (HTTPS). Referrer kommer dessutom enbart innehålla origin, dock inte så passande om du skickar tokens eller liknande i URL, men du kan fortfarande ha ett fungerande CSRF-skydd som kollar att data skickas från samma origin.

Men är du inte säker (vilket du borde vara) så fungerar strict-origin-when-cross-origin hur bra som helst.

EDIT: givetvis kan du ha dynamiska referrer-policies, det är ju riktigt snyggt
Citera
2017-11-07, 15:53
  #3
Medlem
Citat:
Ursprungligen postat av .Chloe
Strict-Origin eftersom då kommer referrer enbart skickas inom origin om den är säker (HTTPS). Referrer kommer dessutom enbart innehålla origin, dock inte så passande om du skickar tokens eller liknande i URL, men du kan fortfarande ha ett fungerande CSRF-skydd som kollar att data skickas från samma origin.

Men är du inte säker (vilket du borde vara) så fungerar strict-origin-when-cross-origin hur bra som helst.

EDIT: givetvis kan du ha dynamiska referrer-policies, det är ju riktigt snyggt

Jag kör endast Seafile på servern, osäker på hur dom skickar token.
NGINX fungerar endast som revers proxy.

Skadar inte att pröva strict-origin och se om det fungerar.
Citera

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback