'Referrer-Policy'
Referrer-Policy
Définition de la Referrer-Policy
Referrer-Policy fait référence à un en-tête HTTP qui contrôle la quantité d'informations qu'un site web partage sur l'activité de navigation de l'utilisateur lorsqu'il navigue vers une autre page. L'en-tête referer révèle l'URL de la page web précédente que l'utilisateur a visitée, permettant au site web récepteur de voir d'où provient la requête.
Comment fonctionne la Referrer-Policy
Lorsqu'un utilisateur clique sur un lien pour naviguer vers une nouvelle page, l'en-tête referer est automatiquement transmis avec la requête. Cela peut potentiellement exposer des informations sensibles, telles que l'URL de la page précédente, au propriétaire de la nouvelle page.
L'en-tête Referrer-Policy permet aux administrateurs de sites web de spécifier si les informations de referer doivent être incluses, exclues ou modifiées lorsque l'utilisateur navigue vers une autre page web. Cela aide à contrôler la quantité d'informations partagées avec des sites externes et peut atténuer les risques potentiels pour la vie privée et la sécurité.
Conseils de prévention
- Configurer le serveur web pour définir l'en-tête HTTP Referrer-Policy afin de contrôler la quantité d'informations de referer partagées.
- Choisir une politique stricte pour limiter la quantité de données de referer partagées avec des sites externes, réduisant ainsi le risque d'atteintes à la vie privée.
- Revoir et mettre à jour régulièrement les paramètres de la Referrer-Policy en fonction des meilleures pratiques et des recommandations de sécurité.
En-tête Referer
L'en-tête referer, également connu sous le nom d'en-tête Referer, est un champ d'en-tête HTTP qui contient l'URL de la page web précédente à partir de laquelle un lien a été suivi. Il est automatiquement inclus dans la requête lorsqu'un utilisateur navigue d'une page à une autre. Les informations de referral fournies par l'en-tête referer aident les propriétaires de sites web à comprendre l'origine du trafic vers leur site, analyser le comportement des utilisateurs et suivre l'efficacité des campagnes marketing.
Cependant, l'en-tête referer a soulevé des préoccupations liées à la vie privée et à la sécurité. Par défaut, l'en-tête referer expose l'URL complète de la page précédente, y compris tous les paramètres de requête et les informations sensibles. Cela peut conduire à une divulgation involontaire de données personnelles ou confidentielles aux propriétaires de sites web ou aux services tiers.
Contrôler les informations de referer avec Referrer-Policy
Pour répondre aux risques liés à la vie privée et à la sécurité associés à l'en-tête referer, l'en-tête Referrer-Policy a été introduit. L'en-tête Referrer-Policy permet aux administrateurs de sites web de contrôler la quantité d'informations de referer partagées lorsqu'un utilisateur navigue vers une autre page web.
En définissant l'en-tête Referrer-Policy, les propriétaires de sites web peuvent spécifier si les informations de referer doivent être incluses, exclues ou modifiées. Voici quelques directives communes de Referrer-Policy :
no-referrer: L'en-tête referer est complètement exclu de la requête. Cela signifie qu'aucune information de referer n'est partagée avec le site récepteur. C'est la politique la plus stricte et offre le plus haut niveau de confidentialité. Cependant, elle peut limiter certaines fonctionnalités légitimes, telles que les analyses et le suivi des clics.no-referrer-when-downgrade: C'est la politique par défaut si aucun en-tête Referrer-Policy n'est spécifié. Elle envoie les informations complètes de referer lors de la navigation vers un site web sécurisé (HTTPS) mais exclut le referer lors de la navigation vers un site web moins sécurisé (HTTP). Cela aide à protéger les informations de referer lors du passage d'un site sécurisé à un site non sécurisé.origin: Seule la partie d'origine de l'URL de referer est envoyée. L'origine comprend le schéma, le domaine et le port, mais exclut tout chemin ou paramètre de requête. Cela fournit quelques informations sur l'origine de la requête sans exposer l'URL complète.origin-when-cross-origin: Similaire à la politiqueorigin, sauf que l'URL complète de referer est envoyée lorsque la requête est effectuée au sein de la même origine (même domaine). Cela aide aux analyses et au suivi au sein d'un site web tout en protégeant les informations de referer lors de la navigation vers d'autres domaines.strict-origin: Seule la partie d'origine de l'URL de referer est envoyée, que ce soit une requête de même origine ou de cross-origin. Cette politique offre le plus de confidentialité en excluant le chemin et les paramètres de requête.strict-origin-when-cross-origin: Similaire à la politiquestrict-origin, sauf que l'URL complète de referer est envoyée lorsque la requête est effectuée au sein de la même origine (même domaine). Cette politique offre un équilibre entre confidentialité et fonctionnalité.