Referrer-Policy

Referrer-Policy

Definisjon av Referrer-Policy

Referrer-Policy refererer til en HTTP-header som kontrollerer hvor mye informasjon et nettsted deler om brukerens nettleseraktivitet når de navigerer til en annen side. Referrer-headeren avslører URL-en til den forrige nettsiden brukeren besøkte, og gjør det mulig for mottakende nettsted å se hvor forespørselen stammer fra.

Hvordan Referrer-Policy fungerer

Når en bruker klikker på en lenke for å navigere til en ny side, sendes referrer-headeren automatisk med forespørselen. Dette kan potensielt avsløre sensitiv informasjon, som URL-en til den forrige siden, til eieren av den nye siden.

Referrer-Policy-headeren lar nettstedsadministratorer spesifisere om henvisningsinformasjonen skal inkluderes, utelates eller modifiseres når brukeren navigerer til en annen nettside. Dette hjelper med å kontrollere mengden informasjon som deles med eksterne nettsteder og kan redusere potensielle personvern- og sikkerhetsrisikoer.

Forebyggingstips

• Konfigurer webserveren til å sette Referrer-Policy HTTP-headeren for å kontrollere mengden henvisningsinformasjon som deles.
• Velg en streng policy for å begrense mengden henvisningsdata som deles med eksterne nettsteder, og reduser risikoen for personvernbrudd.
• Gjennomgå og oppdater regelmessig innstillingene for Referrer-Policy basert på beste praksis og sikkerhetsanbefalinger.

Referer-header

Referrer-headeren, også kjent som Referer-headeren, er et HTTP-headerfelt som inneholder URL-en til den forrige nettsiden som en lenke ble fulgt fra. Den inkluderes automatisk i forespørselen når en bruker navigerer fra en side til en annen. Henvisningsinformasjonen gitt av referrer-headeren hjelper nettstedseiere med å forstå kilden til trafikken til nettstedet deres, analysere brukeratferd og spore effektiviteten av markedsføringskampanjer.

Imidlertid har referrer-headeren skapt bekymringer knyttet til personvern og sikkerhet. Som standard eksponerer referrer-headeren den fullstendige URL-en til den forrige siden, inkludert eventuelle spørringsparametere og sensitiv informasjon. Dette kan føre til utilsiktet avsløring av personlig eller konfidensiell data til nettsideeierne eller tredjepartstjenester.

Kontrollere henvisningsinformasjon med Referrer-Policy

For å adressere personvern- og sikkerhetsrisikoene forbundet med referrer-headeren, ble Referrer-Policy-headeren introdusert. Referrer-Policy-headeren lar nettstedsadministratorer kontrollere mengden henvisningsinformasjon som deles når en bruker navigerer til en annen nettside.

Ved å sette Referrer-Policy-headeren kan nettstedeiere spesifisere om henvisningsinformasjonen skal inkluderes, utelates eller modifiseres. Her er noen vanlige direktiver for Referrer-Policy:

• no-referrer: Referrer-headeren er fullstendig ekskludert fra forespørselen. Dette betyr at ingen henvisningsinformasjon deles med mottakende nettsted. Dette er den strengeste policyen og gir høyeste nivå av personvern. Imidlertid kan det begrense noe legitim funksjonalitet, som analyse og klikktelling.

• no-referrer-when-downgrade: Dette er standardpolicyen hvis ingen Referrer-Policy-header er spesifisert. Den sender full henvisningsinformasjon når man navigerer til et sikkert (HTTPS) nettsted, men ekskluderer henviseren når man navigerer til et mindre sikkert (HTTP) nettsted. Dette hjelper med å beskytte henvisningsinformasjonen når man går fra et sikkert til et usikkert nettsted.

• origin: Kun opprinnelsesdelen av referrer-URL-en sendes. Opprinnelsen består av skjema, domene og port, men ekskluderer eventuelle stier eller spørringsparametere. Dette gir noe informasjon om kilden til forespørselen uten å eksponere hele URL-en.

• origin-when-cross-origin: Ligner på origin-policyen, bortsett fra at den fullstendige referrer-URL-en sendes når forespørselen gjøres innenfor samme opprinnelse (samme domene). Dette hjelper med analyse og sporing innenfor et nettsted, samtidig som det beskytter henvisningsinformasjonen når man navigerer til andre domener.

• strict-origin: Kun opprinnelsesdelen av referrer-URL-en sendes, uavhengig av om det er en same-origin eller cross-origin forespørsel. Denne policyen gir mest personvern ved å ekskludere sti- og spørringsparametere.

• strict-origin-when-cross-origin: Ligner på strict-origin-policyen, bortsett fra at den fullstendige referrer-URL-en sendes når forespørselen gjøres innenfor samme opprinnelse (samme domene). Denne policyen balanserer mellom personvern og funksjonalitet.