fix dla xiastek not secure

2025-07-26 23:22:33 +02:00
parent bc6f64e546
commit 7e69610981
3 changed files with 19 additions and 7 deletions
--- a/.env.example
+++ b/.env.example
@@ -99,12 +99,16 @@ ENABLE_XCTO=1
 # Zalecane: 1. Ustaw 0, jeśli używasz zewnętrznych skryptów lub masz problemy z WebSocketami (w CSP: connect-src 'self').
 ENABLE_CSP=1

-# ENABLE_PP:
-# Ustawia nagłówek Permissions-Policy, który ogranicza wybrane funkcje przeglądarki (np. Topics API od Google).
-# Domyślnie wyłączone. Włączenie ustawi: Permissions-Policy: browsing-topics=()
-# Zalecane: 1 — jeśli chcesz zwiększyć prywatność użytkowników i zablokować Topics API.
-# Ustaw 0, jeśli chcesz całkowicie pominąć ten nagłówek.
-ENABLE_PP=0
+# REFERRER_POLICY:
+# Ustawia nagłówek Referrer-Policy, który kontroluje, ile informacji o źródle (refererze)
+# jest przekazywane podczas nawigacji lub zapytań sieciowych.
+# Domyślnie: strict-origin-when-cross-origin — pełny URL tylko w obrębie tej samej domeny,
+# a przy przejściach między domenami tylko origin (np. https://example.com).
+# Zalecane ustawienie dla dobrej równowagi między prywatnością a funkcjonalnością.
+# Inne możliwe wartości: no-referrer, same-origin, origin, strict-origin, unsafe-url itd.
+
+REFERRER_POLICY="strict-origin-when-cross-origin"
+

 # DEBUG_MODE:
 # Czy uruchomić aplikację w trybie debugowania (z konsolą błędów i autoreloaderem)