Defaults.Exposed › Opravy › Referrer-Policy

Jak opravit Referrer-Policy

Referrer-Policy je jednořádková instrukce, kterou váš web předá prohlížeči každého návštěvníka, a kontroluje, kolik z vaší webové adresy cestuje s nimi, když kliknou na odkaz na jiný web. Bez ní je celá adresa jakékoli stránky, na které byli — vyhledávací dotazy, čísla účtů, resetovací odkazy, interní cesty stránek — tiše předána dalšímu webu, na který přistanou, včetně inzerentů, analytických firem a kamkoli jinam odkaz míří.

Výsledek pro vaše podnikání: Pokaždé, když návštěvník klikne na odchozí odkaz, reklamu nebo sdílený zdroj, jejich prohlížeč může předat celou adresu vaší stránky cíli — a pokud vaše adresy nesou vyhledávací dotazy, ID zákazníků, čísla objednávek nebo jednorázové odkazy, unikáte zákaznická data třetím stranám, které neovládáte. To je problém ochrany dat, který regulátoři berou vážně, tiše porušený slib soukromí a hodnocená mezera, kterou bezpečnostní tým klienta označí při due diligence.

Co vás to může stát

Zákazník vyplní formulář nebo spustí vyhledávání, pak klikne na odchozí odkaz nebo reklamu — a adresa stránky, kompletní s tím, co napsal, je předána přímo inzerentovi nebo analytické firmě, se kterou jste ji nikdy neměli v úmyslu sdílet.
Resetovací hesla a potvrzovací e-maily někdy nesou tajný token ve webové adrese; bez této hlavičky může kliknutí na jakýkoliv odkaz na té stránce předat celou adresu — včetně tokenu — cizímu webu.
Privátní interní cesty stránek (administrátorské oblasti, stránky pouze pro zákazníky, cenové úrovně, odkazy na dokumenty) jsou odhaleny každé třetí straně, na kterou vaši návštěvníci proklikají, předávajíce konkurentům a špehům mapu vašeho webu, kterou by nikdy neměli vidět.
Bezpečnostní revize klienta nebo audit ochrany soukromí prohledá váš web, neuvidí žádnou Referrer-Policy a zaznamená to jako selhání minimalizace dat — druh nálezu, který zastaví smlouvu nebo certifikaci.
Osobní data skončí v rukou zpracovatelů, se kterými nemáte žádnou smlouvu, proměňujíce pětiminutové opomenutí v reportabilní narušení ochrany dat.

Proč na tom záleží. Prohlížeče, ponechány samy sobě, jsou upovídané: ve výchozím nastavení sdělují dalšímu webu, odkud návštěvník právě přišel, often including the full address. Pro brožurový web to může být nevinné, ale jakmile vaše adresy obsahují cokoliv osobního — vyhledávací dotaz, ID objednávky, e-mail v odkazu, soukromá cesta — ten výchozí stav ho tiše uniká cizím stranám. Referrer-Policy je jedno nastavení, které říká prohlížečům, aby přestaly přehnaně sdílet. Je to hodnocená kontrola na vašem hodnotícím listu stojící skutečné body, přímo mapuje na povinnosti minimalizace dat podle práva o ochraně soukromí a je to jedna ze standardních bezpečnostních hlaviček, které každá profesionální revize očekává najít.

Co to je, prostými slovy

Pokaždé, když návštěvník na vašem webu klikne na odkaz na jiný web — odchozí odkaz, bannerová reklama, “sdílet toto,” dokonce i písmo nebo obrázek načtený odjinud — jejich prohlížeč tiše připojí poznámku říkající, ze které vaší stránky přišli. Tato poznámka se nazývá referrer.

Použit rozumně, referrer je nevinný a dokonce užitečný: je to způsob, jakým jiné weby vědí, že provoz přišel od vás, a pohání spoustu poctivé analytiky. Úskalí je ve výchozím chování. Ponecháno bez správy, prohlížeč nejen říká “přišli z your-business.com” — often předává celou adresu přesné stránky, včetně všeho po doménovém jménu. A webové adresy nesou daleko více, než si lidé uvědomují: vyhledávací dotazy zadané do vašeho webu, čísla objednávek a účtů, cesta k soukromé stránce pouze pro členy, dokonce i jednorázové tajné tokeny v resetovacích heslech a potvrzovacích odkazech.

Referrer-Policy je jedna instrukce, kterou váš web posílá prohlížeči, která říká, kolik z té poznámky smí sdílet. Můžete mu říci, aby sdílel pouze vaše doménové jméno, pouze jiným stránkám na vašem vlastním webu nebo vůbec nic. Přemýšlejte o tom jako o rozdílu mezi předáváním cizímu člověku celé vaše domácí adresy s připojeným denním rozvrhem versus jen řeknout mu, ve kterém městě bydlíte.

Toto je jedna z malé rodiny “bezpečnostních hlaviček” — krátké instrukce, které váš web dává prohlížeči každého návštěvníka. Nemění způsob, jakým váš web vypadá nebo funguje. Jednoduše zastaví prohlížeč v nadměrném sdílení vaším jménem.

Co vás to může stát

Zde jsou konkrétní, každodenní způsoby, jak chybějící nebo permisivní Referrer-Policy škodí reálným firmám. Žádný z nich nevyžaduje hackera — probíhají automaticky, každý den, při normálním používání.

Uniklé vyhledávání. Zákazník vyhledá na vašem webu něco citlivého — zdravotnický produkt, dluhovou službu, srovnání konkurenta — a vyhledávací dotaz skončí v adrese stránky. Pak kliknou na odchozí odkaz nebo reklamu na té stránce výsledků. Inzerent nyní obdrží vaši adresu s vyhledávacím dotazem v ní, učíce se přesně, co váš zákazník hledal. Vy jste s tím nikdy nesouhlasili a nemůžete to vrátit.
Odhalený resetovací odkaz. Mnoho systémů vloží tajný jednorázový token do adresy resetovacích hesel, potvrzení e-mailu nebo “magické přihlašovací” stránky. Pokud tato stránka obsahuje jakýkoliv odchozí odkaz nebo zdroj třetí strany, celá adresa — včetně tokenu — může být předána cizímu webu. V nejhorším případě to dá třetí straně klíče k účtu.
Mapa webu, kterou jste darovali zdarma. Vaše interní cesty stránek often odhalují vaši strukturu: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Bez této hlavičky každý cizí web, na který vaši návštěvníci proklikají, obdrží tyto cesty. Konkurenti se dozvědí vaše cenové úrovně a produktové řady; scrapovači se dozví, které stránky cílit.
Nechtěný vztah sdílení dat. Zákon o ochraně soukromí očekává, že víte, kam osobní data vašich zákazníků jdou a máte smlouvu. Unikající adresy stránek, které obsahují ID zákazníků nebo e-mailové adresy, reklamním sítím a analytickým firmám — bez smlouvy a bez souhlasu — je přesně druh nekontrolovaného toku dat, který promění rutinní audit v nález a nález v reportabilní narušení.
Obchod, který stagnuje na due diligence. Když bezpečnostní tým většího zákazníka vás prověřuje, chybějící standardní bezpečnostní hlavičky jsou rychlé, automatizované zaškrtnutí políčka. Vidět Referrer-Policy nepřítomnou jim říká, že základní hygiena soukromí nebyla nikdy nastavena — a tento dojem zbarví vše ostatní v revizi.

Co to vlastně je

Ve výchozím nastavení prohlížeče sledují chování přibližně ekvivalentní “strict-origin-when-cross-origin” v moderních verzích — ale na to se nemůžete spoléhat, protože starší prohlížeče, vložené webviews a určité konfigurace stále padají zpět na unikání více. Jediný způsob, jak být jistí, je nastavit politiku explicitně. Když to uděláte, vybíráte jedno pravidlo z krátkého seznamu. Ty, na kterých záleží:

no-referrer — nesdílejte nic. Dalšímu webu není řečeno nic o tom, odkud návštěvník přišel. Maximální soukromí; může tlumit vaši referenční analytiku.
same-origin — sdílejte celou adresu pouze tehdy, když se návštěvník přesouvá mezi stránkami na vašem vlastním webu; s cizími weby nesdílejte nic.
strict-origin-when-cross-origin — doporučené výchozí nastavení. V rámci vašeho vlastního webu je sdílena celá cesta; cizím webům je sdíleno pouze vaše holé doménové jméno (a nic vůbec při přechodu ze zabezpečené stránky na nezabezpečenou). Cizí strany se dozví, že provoz přišel od vás, ale nikdy soukromé podrobnosti za vaší doménou.
origin — vždy sdílejte pouze vaše doménové jméno, dokonce i v rámci vašeho vlastního webu.

A dvě hodnoty, kterým se vyhnout, protože hodnotící list je zachází jako ne lépe než nemít žádnou hlavičku vůbec:

unsafe-url — sdílejte celou adresu se všemi, vždy. Toto je nejhorší případ v jednom slově.
no-referrer-when-downgrade — starý výchozí prohlížeč; stále posílá celou adresu jiným zabezpečeným webům, unikajíce vše popsané výše.

Jak vypadá ‘dobré’: hlavička Referrer-Policy je přítomna a nastavena na omezující hodnotu — pro většinu firem strict-origin-when-cross-origin. Toto udržuje fungující referenční analytiku a zároveň zajišťuje, že nic za vaším doménovým jménem nikdy nedosáhne cizího webu.

Jak to opravit (zdarma, asi 5 minut)

Předejte tuto část vašemu IT pracovníkovi, webovému vývojáři nebo podpoře hostingu — oprava je zdarma, je to jeden řádek a nerozbije váš web. Zde není žádné rizikové nasazení: na rozdíl od některých bezpečnostních nastavení, rozumná Referrer-Policy nemůže zastavit vaše odkazy nebo stránky od fungování. Pouze zkracuje, co je sdíleno s jinými weby.

Cíl: nastavte hlavičku odpovědi Referrer-Policy s hodnotou strict-origin-when-cross-origin (nebo přísnější hodnotou, pokud preferujete sdílet ještě méně).

Cloudflare (bez kódu — nejjednodušší pokud ho používáte): Nástěnka → vaše doména → Pravidla → Transformační pravidla → Upravit hlavičku odpovědi → Vytvořit pravidlo → Nastavit staticky → Název hlavičky Referrer-Policy, hodnota strict-origin-when-cross-origin → aplikovat na všechny příchozí požadavky → Nasadit.

Google Workspace / Microsoft 365: tyto spravují váš e-mail, nikoli váš web, takže hlavička se nastavuje kdekoliv je váš web skutečně hostován (váš webhosting, CDN nebo server) — nikoli v administrátorské konzoli Workspace nebo 365. Identifikujte hostitele a použijte odpovídající možnost níže.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (v konfiguraci webu nebo .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / běžné hostingové platformy: většina spravovaných WordPress a sdílených hostingových platforem vám umožňuje přidat hlavičky odpovědi buď přes bezpečnostní plugin, panel “hlavičky” v ovládacím panelu hostingu nebo fragment .htaccess výše. Pokud jste za Cloudflare, metoda Cloudflare je nejčistší a aplikuje se všude najednou.

Po aplikaci: načtěte váš web a znovu spusťte kontrolu nebo použijte vývojářské nástroje prohlížeče (karta Síť → klikněte na hlavní dokument → Hlavičky odpovědi) k potvrzení, že Referrer-Policy: strict-origin-when-cross-origin je přítomno.

Běžné chyby

Nastavení permisivní hodnoty a předpoklad, že se počítá. unsafe-url a no-referrer-when-downgrade stále unikají celou adresu. Hodnotící list je skóruje nula — identicky jako nemít žádnou hlavičku. Pokud je hlavička přítomna, ale body nejsou, toto je téměř vždy proč.
Nastavení pouze na domovské stránce. Hlavička by měla být odesílána na každé stránce, protože úniky probíhají na stránkách výsledků vyhledávání, účtů a resetovacích — nikoli na domovské stránce. Nastavte ji na úrovni serveru, CDN nebo Cloudflare, aby se automaticky aplikovala na celý web.
Nastavení pouze ve značkách HTML <meta>. Tag <meta name="referrer"> funguje pro některé případy, ale ne všechny, a je snadné ho mít nekonzistentní napříč stránkami. Nastavení jako řádné hlavičky odpovědi (metody výše) je spolehlivý přístup.
Nechání jedné vrstvy přepsat druhou. Pokud váš origin server i váš CDN nastaví hlavičku s různými hodnotami, výsledek může být nepředvídatelný. Vyberte jedno místo pro správu — obvykle CDN nebo Cloudflare pokud ho máte — a udržujte zbytek konzistentní.
Zacházení s ní jako náhradou za udržování dat mimo URL. Hlavička omezuje škody, ale čistší dlouhodobý návyk je nevkládat tajemství a osobní data do webových adres od začátku. Použijte hlavičku nyní; zmiňte hygienu URL svému vývojáři jako navazující opatření.

Krátká poznámka k příbuzným hlavičkám

Referrer-Policy sedí vedle malé sady dalších bezpečnostních hlaviček webu, které kontrolujeme — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options a pár pokročilých křížových-origin hlaviček. Chrání různé věci, takže mít jednu nepokrývá ostatní. Pokud chybí vaše Referrer-Policy, stojí za to zeptat se toho, kdo ji opravuje, zda potvrdí, že ostatní standardní hlavičky jsou na místě ve stejný čas, protože jsou typicky konfigurovány na stejném jednom místě a návštěva nestojí nic extra.

Stručně

Referrer-Policy je nejlevnější, nejbezpečnější oprava soukromí na vašem hodnotícím listu: jeden řádek, asi pět minut, žádné riziko rozbití čehokoliv a zdarma. Zastaví prohlížeče vašich návštěvníků v tichém předávání vašich soukromých adres stránek — a veškerá osobní data, která obsahují — každému cizímu webu, na který proklikají. Nastavte ji na strict-origin-when-cross-origin, potvrďte, že je živá na každé stránce a mezera střední závažnosti i jejích 15 bodů jsou uzavřeny.

Časté dotazy

Nejsem technik — je to něco, s čím mohu skutečně nakládat?

Ano, a je to jedna z nejjednodušších oprav na celém hodnotícím listu. Je to jeden řádek přidaný tím, kdo provozuje váš web nebo hosting, a na službách jako Cloudflare je to pár kliknutí bez kódu vůbec. Předejte jim sekci 'Jak to opravit' níže. Je to zdarma, trvá asi pět minut a na rozdíl od některých bezpečnostních nastavení nic na vašem webu nerozbije.

Co 'referrer' vůbec znamená?

Když někdo klikne na odkaz z vaší stránky na jiný web, jejich prohlížeč pošle poznámku říkající, z které stránky přišli — tato poznámka se nazývá referrer. Je to upřímně užitečné pro poctivou analytiku. Problém je ve výchozím chování. Ponecháno bez správy, poznámka often zahrnuje vaši celou adresu stránky, nejen vaše doménové jméno. Pokud tato adresa obsahuje cokoli soukromého, sdílí se to také. Referrer-Policy vám umožní zkrátit poznámku pouze na vaše doménové jméno nebo ji vypnout, takže nic citlivého neunikne.

Stojí to za to, pokud můj web nevyřizuje platby?

Téměř jistě ano. Pro soukromé informace ve vašich webových adresách nepotřebujete pokladnu — vyhledávací pole, kontaktní formuláře, stránky účtů, odkazů na dokumenty a resetovací e-maily hesel běžně vkládají data do adresního řádku. A dokonce i bez osobních dat vůbec, unikající interní cesty vašich stránek každému cizímu webu, na který vaši návštěvníci prokliknou, předávají konkurentům a scrapovačům bezplatnou mapu vašeho webu. Oprava nestojí nic a pět minut, takže je malý důvod to přeskakovat.

Může zapnutí tohoto rozbít můj web nebo analytiku?

Ne. Toto je jedna z bezpečných hlaviček — kontroluje pouze, kolik podrobností adresy je sdíleno s jinými weby, nikoli zda odkazy fungují. Doporučené nastavení stále posílá vaše doménové jméno cizím webům, takže legitimní referenční analytika funguje dál; jen zastaví celou soukromou adresu od odeslání. Není třeba žádná zkušební fáze pouze sledovat a nic k testování nejprve na stagingu.

Je to záležitost práva o ochraně soukromí nebo jen hezká věc k mít?

Může to být skutečná záležitost compliance. Pravidla ochrany dat vyžadují, abyste shromažďovali a sdíleli pouze minimální nezbytná osobní data a věděli, kam vaše data jdou. Pokud vaše adresy nesou osobní identifikátory a unikáte je inzerentům nebo analytickým firmám bez smlouvy, je to selhání minimalizace dat, které auditoři a regulátoři uznávají. Pro většinu podniků je tato hlavička levnou, konkrétní cestou k uzavření této mezery.

Ovlivňuje to naše hodnocení, nebo je to pouze poradenské?

Ovlivňuje vaše hodnocení. Kontrola Referrer-Policy je hodnocena a stojí až 15 bodů v kategorii Webová bezpečnost. Chybějící hlavička je označena jako střední závažnost. Poznamenejte si jednu past: nastavení hlavičky na permisivní hodnotu jako 'unsafe-url' nebo 'no-referrer-when-downgrade' skóruje nula — totéž jako vůbec nemít žádnou hlavičku — protože tyto hodnoty stále unikají celou adresu. Pro získání bodů potřebujete správně omezující hodnotu jako 'strict-origin-when-cross-origin'.