Verweisende-Politik

Referrer-Policy

Definition der Referrer-Policy

Die Referrer-Policy bezieht sich auf einen HTTP-Header, der steuert, wie viele Informationen eine Website über die Browsing-Aktivitäten eines Benutzers weitergibt, wenn dieser zu einer anderen Seite navigiert. Der Referrer-Header zeigt die URL der vorherigen Webseite an, die der Benutzer besucht hat, und ermöglicht es der empfangenden Website zu sehen, woher die Anfrage stammt.

Wie die Referrer-Policy funktioniert

Wenn ein Benutzer auf einen Link klickt, um zu einer neuen Seite zu navigieren, wird der Referrer-Header automatisch mit der Anfrage übermittelt. Dies kann potenziell sensible Informationen offenlegen, wie die URL der vorherigen Seite, an den Besitzer der neuen Seite.

Der Referrer-Policy-Header ermöglicht es Website-Administratoren, festzulegen, ob die Referrer-Informationen einbezogen, ausgeschlossen oder modifiziert werden sollen, wenn der Benutzer zu einer anderen Webseite navigiert. Dies hilft, die Menge an Informationen zu kontrollieren, die mit externen Websites geteilt werden, und kann potenzielle Datenschutz- und Sicherheitsrisiken mindern.

Präventionstipps

• Konfigurieren Sie den Webserver so, dass der Referrer-Policy HTTP-Header gesetzt wird, um die Menge der geteilten Referrer-Informationen zu steuern.
• Wählen Sie eine strenge Richtlinie, um die Menge der mit externen Websites geteilten Referrer-Daten zu begrenzen und das Risiko von Datenschutzverletzungen zu verringern.
• Überprüfen und aktualisieren Sie regelmäßig die Einstellungen der Referrer-Policy basierend auf Best Practices und Sicherheitsempfehlungen.

Referer-Header

Der Referrer-Header, auch als Referer-Header bekannt, ist ein HTTP-Header-Feld, das die URL der vorherigen Webseite enthält, von der ein Link gefolgt wurde. Es wird automatisch in die Anfrage einbezogen, wenn ein Benutzer von einer Seite zur anderen navigiert. Die vom Referrer-Header bereitgestellten Referral-Informationen helfen Website-Besitzern, die Quelle des Traffics auf ihrer Seite zu verstehen, das Benutzerverhalten zu analysieren und die Wirksamkeit von Marketingkampagnen zu verfolgen.

Allerdings hat der Referrer-Header Bedenken hinsichtlich des Datenschutzes und der Sicherheit aufgeworfen. Standardmäßig zeigt der Referrer-Header die vollständige URL der vorherigen Seite, einschließlich aller Abfrageparameter und sensibler Informationen. Dies kann zu einer unbeabsichtigten Offenlegung persönlicher oder vertraulicher Daten an Website-Besitzer oder Drittanbieter führen.

Kontrolle der Referrer-Informationen mit der Referrer-Policy

Um die Datenschutz- und Sicherheitsrisiken des Referrer-Headers zu adressieren, wurde der Referrer-Policy-Header eingeführt. Der Referrer-Policy-Header ermöglicht es Website-Administratoren, die Menge der geteilten Referrer-Informationen zu steuern, wenn ein Benutzer zu einer anderen Webseite navigiert.

Durch das Setzen des Referrer-Policy-Headers können Website-Besitzer festlegen, ob die Referrer-Informationen einbezogen, ausgeschlossen oder modifiziert werden sollen. Hier sind einige gängige Direktiven der Referrer-Policy:

• no-referrer: Der Referrer-Header wird vollständig von der Anfrage ausgeschlossen. Das bedeutet, dass keine Referrer-Informationen mit der empfangenden Website geteilt werden. Dies ist die strengste Richtlinie und bietet das höchste Maß an Datenschutz. Allerdings kann es einige legitime Funktionen wie Analytik und Klick-Tracking einschränken.

• no-referrer-when-downgrade: Dies ist die Standardrichtlinie, wenn kein Referrer-Policy-Header angegeben ist. Sie sendet die vollständigen Referrer-Informationen, wenn zu einer sicheren (HTTPS) Website navigiert wird, aber schließt den Referrer aus, wenn zu einer weniger sicheren (HTTP) Website navigiert wird. Dies hilft, die Referrer-Informationen zu schützen, wenn von einer sicheren zu einer nicht sicheren Seite gewechselt wird.

• origin: Es wird nur der Ursprungsteil der Referrer-URL gesendet. Der Ursprung besteht aus Schema, Domain und Port, schließt jedoch Pfade oder Abfrageparameter aus. Dies bietet einige Informationen über die Quelle der Anfrage, ohne die vollständige URL offenzulegen.

• origin-when-cross-origin: Ähnlich der origin-Richtlinie, außer dass die vollständige Referrer-URL gesendet wird, wenn die Anfrage innerhalb desselben Ursprungs (gleiche Domain) erfolgt. Dies hilft bei der Analytik und dem Tracking innerhalb einer Website, während die Referrer-Informationen beim Navigieren zu anderen Domains geschützt werden.

• strict-origin: Es wird nur der Ursprungsteil der Referrer-URL gesendet, unabhängig davon, ob es sich um eine gleich- oder fremdherkunftliche Anfrage handelt. Diese Richtlinie bietet den größten Datenschutz, indem Pfade und Abfrageparameter ausgeschlossen werden.

• strict-origin-when-cross-origin: Ähnlich der strict-origin-Richtlinie, außer dass die vollständige Referrer-URL gesendet wird, wenn die Anfrage innerhalb desselben Ursprungs (gleiche Domain) erfolgt. Diese Richtlinie stellt einen Kompromiss zwischen Datenschutz und Funktionalität dar.