После обновления RT с версии 3.8.8-7+squeeze1 на 3.8.8-7+squeeze2, вылезла следующая «проблема»: при каких-либо манипуляциях над тикетами отображалось следующее предупреждение:
Possible cross-site request forgery
RT has detected a possible cross-site request forgery for this request, because the Referrer header supplied by your browser (rt.domain.org:443) is not allowed by RT's configured hostname (rt.domain.com:443). This is possibly caused by a malicious attacker trying to perform actions against RT on your behalf. If you did not initiate this request, then you should alert your security team.
If you really intended to visit /Search/Results.html, then click here to resume your request.
Заглянув в changelog я понял, что таким способом ребята исправили CSRF уязвимость, а именно добавили проверку рефера. Т.е. если ваш рефер не совпадает с доменом указанным в опции $WebBaseURL, то RT будет выдавать предупреждение о CSRF. Но пока я посмотрел в changelog, я напрасно потратил около часа на гугл, по этому ниже я привёл 2 способа решения этой «проблемы».
1. Отключить предупреждение о CSRF, установкой в конфиге опции $RestrictReferrer 0, как указано в changelog:
Set($RestrictReferrer, 0);
2. Либо добавить в доверенные реферы все указывающие домена на ваш RT:
Set(@ReferrerWhitelist, qw(rt.domain.org:443 rt.domain.com:443));
Автор: marfx000
