<div dir="ltr">Hi Francis!<br><div class="gmail_extra"><br><div class="gmail_quote">On 18 December 2017 at 22:26, Francis Daly <span dir="ltr"><<a href="mailto:francis@daoine.org" target="_blank">francis@daoine.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
You do currently have a header_filter_by_lua_block{} section, where you<br>
appear to rewrite three specific content-security-related headers based<br>
on multiple regex matches.<br>
<br>
Could you not do exactly the same with the "Location" header, since it<br>
is just another header from upstream that will be sent to the client?<br>
<br>
It seems so obvious that I guess you must have tried it; but you didn't<br>
explicitly say that you did, so maybe it is worth a shot.<br></blockquote><div><br></div><div>Eventually it struck me that this was indeed a solution, but only after I worked out that the proxy_cookie_domain command was similarly operating on a first-match-wins principle.</div><div><br></div><div>Then I just dove into it, and coded it.</div><div><br></div><div>I am now using Lua to global-search-and-replace upon "Access-Control-Allow-Origin", "Content-Security-Policy", "Content-Security-Policy-Report-Only", "Link", "Location" and "Set-Cookie", and I am getting the behaviour that I wanted, and I am keeping an eye open for other headers to fix.</div><div><br></div><div>I believe that I will be able to use the same/similar mechanism to obviate use of `more_clear_headers`, and possibly I can find somewhere convenient to replace the inbound `proxy_set_header` and `proxy_hide_header` with Lua, too.</div><div><br></div><div>Perhaps the best thing to do would be (to get someone?) to document this behaviour in the `proxy_redirect` (etc) manuals; I feel that I was led astray because (by comparison) multiple invocations of `subs_filter` work exactly as expected.</div><div><br>What do you think?</div><div><div><br></div></div></div><div><br></div>-- <br><div class="gmail_signature"><a href="http://dropsafe.crypticide.com/aboutalecm" target="_blank">http://dropsafe.crypticide.com/aboutalecm</a><br></div>
</div></div>