Referrer-Policy

Referrer-Policy

Definition av Referrer-Policy

Referrer-Policy hänvisar till en HTTP-header som kontrollerar hur mycket information en webbplats delar om användarens surfaktivitet när de navigerar till en annan sida. Referrer-headern avslöjar URL:en för den tidigare webbsidan som användaren besökte, vilket gör det möjligt för den mottagande webbplatsen att se varifrån begäran härstammar.

Hur Referrer-Policy Fungerar

När en användare klickar på en länk för att navigera till en ny sida skickas referrer-headern automatiskt med begäran. Detta kan potentiellt exponera känslig information, som URL:en för den tidigare sidan, till ägaren av den nya sidan.

Referrer-Policy-headern tillåter webbplatsadministratörer att specificera om referrer-informationen ska inkluderas, uteslutas eller modifieras när användaren navigerar till en annan webbsida. Detta hjälper till att kontrollera mängden information som delas med externa webbplatser och kan minska potentiella integritets- och säkerhetsrisker.

Förebyggande Tips

• Konfigurera webbservern för att ställa in Referrer-Policy HTTP-headern för att kontrollera mängden referrer-information som delas.
• Välj en strikt policy för att begränsa mängden referrer-data som delas med externa webbplatser, för att minska risken för integritetsintrång.
• Granska och uppdatera regelbundet Referrer-Policy-inställningarna baserat på bästa praxis och säkerhetsrekommendationer.

Referer Header

Referrer-headern, även känd som Referer-headern, är ett HTTP-header-fält som innehåller URL:en för den tidigare webbsidan från vilken en länk följdes. Den är automatiskt inkluderad i begäran när en användare navigerar från en sida till en annan. Den referensinformation som tillhandahålls av referrer-headern hjälper webbplatsägare att förstå källan till trafik till deras webbplats, analysera användarbeteende och spåra effektiviteten av marknadsföringskampanjer.

Dock har referrer-headern väckt oro relaterad till integritet och säkerhet. Som standard exponeras referrer-headern hela URL:en för den tidigare sidan, inklusive eventuella frågeparametrar och känslig information. Detta kan leda till oavsiktlig spridning av personlig eller konfidentiell data till webbplatsägare eller tredjepartstjänster.

Kontrollera Referrer-Information med Referrer-Policy

För att åtgärda de integritets- och säkerhetsrisker som är associerade med referrer-headern, introducerades Referrer-Policy-headern. Med Referrer-Policy-headern kan webbplatsadministratörer kontrollera mängden referrer-information som delas när en användare navigerar till en annan webbsida.

Genom att ställa in Referrer-Policy-headern kan webbplatsägare specificera om referrer-informationen ska inkluderas, uteslutas eller modifieras. Här är några vanliga direktiv för Referrer-Policy:

• no-referrer: Referrer-headern är helt utesluten från begäran. Detta innebär att ingen referrer-information delas med den mottagande webbplatsen. Detta är den striktaste policyn och ger den högsta nivån av integritet. Dock kan det begränsa viss legitim funktionalitet, såsom analytics och klickspårning.

• no-referrer-when-downgrade: Detta är standardpolicyn om ingen Referrer-Policy-header är specificerad. Den skickar fullständig referrer-information när man navigerar till en säker (HTTPS) webbplats men utesluter referrer-informationen när man navigerar till en mindre säker (HTTP) webbplats. Detta hjälper till att skydda referrer-informationen när man flyttar från en säker till en osäker webbplats.

• origin: Endast ursprungdelen av referrer-URL:en skickas. Ursprunget består av schema, domän och port, men utesluter eventuella sökvägar eller frågeparametrar. Detta ger viss information om källan till begäran utan att exponera hela URL:en.

• origin-when-cross-origin: Liknande origin-policyn, förutom att hela referrer-URL:en skickas när begäran görs inom samma ursprung (samma domän). Detta hjälper med analytics och spårning inom en webbplats samtidigt som man fortfarande skyddar referrer-informationen när man navigerar till andra domäner.

• strict-origin: Endast ursprungdelen av referrer-URL:en skickas, oavsett om det är en same-origin eller cross-origin-begäran. Denna policy ger mest integritet genom att utesluta sökvägar och frågeparametrar.

• strict-origin-when-cross-origin: Liknande strict-origin-policyn, förutom att hela referrer-URL:en skickas när begäran görs inom samma ursprung (samma domän). Denna policy balanserar mellan integritet och funktionalitet.