Політика реферера.

Політика Referrer-Policy

Визначення Referrer-Policy

Referrer-Policy відноситься до заголовка HTTP, який контролює кількість інформації, що сайт надає про активність користувача під час переходу на іншу сторінку. Заголовок referrer розкриває URL попередньої веб-сторінки, яку відвідав користувач, що дозволяє приймаючому сайту бачити, звідки походить запит.

Як працює Referrer-Policy

Коли користувач натискає на посилання для переходу на нову сторінку, заголовок referrer автоматично передається разом із запитом. Це може потенційно розкрити конфіденційну інформацію, таку як URL попередньої сторінки, власнику нової сторінки.

Заголовок Referrer-Policy дозволяє адміністраторам веб-сайтів вказувати, чи повинна інформація referrer бути включена, виключена або змінена під час переходу користувача на іншу веб-сторінку. Це допомагає контролювати кількість інформації, яка передається зовнішнім веб-сайтам, та може зменшити потенційні ризики для конфіденційності та безпеки.

Поради з попередження

• Налаштуйте веб-сервер на встановлення заголовка HTTP Referrer-Policy для контролю кількості інформації referrer, що передається.
• Обирайте строго політику для обмеження кількості даних referrer, що передаються зовнішнім сайтам, зменшуючи ризик порушення конфіденційності.
• Регулярно переглядайте та оновлюйте налаштування Referrer-Policy на основі кращих практик та рекомендацій з безпеки.

Заголовок Referer

Заголовок referrer, також відомий як заголовок Referer, це поле заголовка HTTP, яке містить URL попередньої веб-сторінки, з якої було слідувано посилання. Він автоматично включається у запит, коли користувач переходить з однієї сторінки на іншу. Інформація про реферера, надана заголовком referrer, допомагає власникам веб-сайтів розуміти джерело трафіку на їх сайт, аналізувати поведінку користувачів та відслідковувати ефективність маркетингових кампаній.

Однак заголовок referrer викликає занепокоєння щодо конфіденційності та безпеки. За замовчуванням, заголовок referrer розкриває повний URL попередньої сторінки, включаючи будь-які параметри запиту та конфіденційну інформацію. Це може призвести до ненавмисного розкриття особистих або конфіденційних даних власникам веб-сайтів або стороннім службам.

Контроль інформації referrer за допомогою Referrer-Policy

Для вирішення проблем конфіденційності та безпеки, пов'язаних із заголовком referrer, було введено заголовок Referrer-Policy. Заголовок Referrer-Policy дозволяє адміністраторам веб-сайтів контролювати кількість інформації, що передається під час переходу на іншу веб-сторінку.

За допомогою встановлення заголовка Referrer-Policy власники веб-сайтів можуть вказати, чи повинна інформація referrer бути включена, виключена або змінена. Ось деякі загальні директиви Referrer-Policy:

• no-referrer: Заголовок referrer повністю виключається з запиту. Це означає, що жодна інформація про referrer не передається приймаючому веб-сайту. Це найстрогіша політика і забезпечує найвищий рівень конфіденційності. Однак, це може обмежити деякі законні функціональні можливості, такі як аналітика та відстеження кліків.

• no-referrer-when-downgrade: Це політика за замовчуванням, якщо не вказано заголовок Referrer-Policy. Вона надсилає повну інформацію про referrer при переході на безпечний (HTTPS) веб-сайт, але виключає referrer при переході на менш захищений (HTTP) веб-сайт. Це допомагає захистити інформацію про реферера при переході з безпечного на небезпечний сайт.

• origin: Надсилається лише частина origin URL referrer. Origin складається зі схеми, домену та порту, але виключає будь-які шляхи або параметри запиту. Це надає деяку інформацію про джерело запиту без розкриття повного URL.

• origin-when-cross-origin: Схоже на політику origin, за винятком того, що повний URL referrer надсилається, коли запит робиться в межах того ж origin (домена). Це допомагає з аналітикою та відстеженням в межах одного веб-сайту, при цьому захищаючи інформацію referrer при переході на інші домени.

• strict-origin: Надсилається лише частина origin URL referrer, незалежно від того, чи є це запитом в межах одного origin або між різними origin. Ця політика забезпечує найбільшу конфіденційність, виключаючи шлях та параметри запиту.

• strict-origin-when-cross-origin: Подібно до політики strict-origin, за винятком того, що повний URL referrer надсилається, коли запит робиться в межах одного origin (домена). Ця політика знаходить баланс між конфіденційністю та функціональністю.