Master -> 4.0.5-5
[usit-rt.git] / etc / RT_Config.pm
index c34575a..cec5a7b 100644 (file)
@@ -1775,13 +1775,30 @@ Set($RestrictReferrer, 1);
 If set to a false value, RT will allow the user to log in from any link
 or request, merely by passing in C<user> and C<pass> parameters; setting
 it to a true value forces all logins to come from the login box, so the
-user us aware that they are being logged in.  The default is off, for
+user is aware that they are being logged in.  The default is off, for
 backwards compatability.
 
 =cut
 
 Set($RestrictLoginReferrer, 0);
 
+=item C<$ReferrerWhitelist>
+
+This is a list of hostname:port combinations that RT will treat as being
+part of RT's domain. This is particularly useful if you access RT as
+multiple hostnames or have an external auth system that needs to
+redirect back to RT once authentication is complete.
+
+ Set(@ReferrerWhitelist, qw(www.example.com:443  www3.example.com:80));
+
+If the "RT has detected a possible cross-site request forgery" error is triggered
+by a host:port sent by your browser that you believe should be valid, you can copy
+the host:port from the error message into this list.
+
+=cut
+
+Set(@ReferrerWhitelist, qw());
+
 =back