エンタープライズの参照元ポリシーについて
誰かが お使いの GitHub Enterprise Server インスタンス から外部サイトへのリンクにアクセスしたときに、GitHub Enterprise Server から HTTP ヘッダーで送信する情報は、参照元ポリシーによって制御されます。
既定では、お使いの GitHub Enterprise Server インスタンス のユーザーが、インスタンスのファイルまたはコメントから別のサイトへのリンクにアクセスすると、要求にはインスタンスのホスト名が Referer ヘッダー内のプレーンテキストで含まれます。 リンクが外部 Web サイトにつながる場合、Web サイトの所有者は、要求またはログ ファイル内のインスタンスのホスト名を読み取る可能性があります。
あなたのインスタンスからのリンクにユーザーがアクセスした場合は、GitHub Enterprise Server から送信される情報は、あなたが制御できます。
same-origin 参照元ポリシーの有効化
same-origin 参照元ポリシーを有効にして、外部 Web サイトへの要求から お使いの GitHub Enterprise Server インスタンス のホスト名を除外するように最新のブラウザーに指示できます。 この設定は、インスタンス上の Web インターフェイスからのすべてのリンクに適用されます。 既定では、GitHub Enterprise Server は origin-when-cross-origin と strict-origin-when-cross-origin 参照元ポリシーを使います。つまり、インスタンスのホスト名は、外部 Web サイトへの HTTP および HTTPS 要求に出現します。
メモ
参照元ポリシーを same-origin に変更すると、要求の HTTP ヘッダーにホスト名が必要な外部サイトに影響する可能性があります。
- GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
- ページの上部にある [ Settings] をクリックします。
- [ Settings] の下にある [Authentication security] をクリックします。
- [ユーザー エージェント参照元ポリシー] で、 [すべての組織で同じ配信元参照元ポリシーを有効にする] を選択します。
- [保存] をクリックします。