Defaults.Exposed › Behebungen › Referrer-Policy

So beheben Sie Referrer-Policy

Eine Referrer-Policy ist eine einzeilige Anweisung, die Ihre Website dem Browser jedes Besuchers übergibt und die steuert, wie viel Ihrer Webadresse mitgeht, wenn er einen Link zu einer anderen Seite anklickt. Ohne sie wird die vollständige Adresse der Seite, auf der er war — Suchbegriffe, Kontonummern, Zurücksetzungs-Links, interne Seitenpfade und alles — still an die nächste Seite weitergereicht, auf der er landet, einschließlich Werbetreibender, Analysefirmen und überall, wohin ein Link führt.

Das Wichtigste für Ihr Unternehmen: Jedes Mal, wenn ein Besucher einen ausgehenden Link, eine Anzeige oder eine geteilte Ressource anklickt, kann sein Browser die vollständige Adresse Ihrer Seite an das Ziel übergeben — und wenn Ihre Adressen Suchanfragen, Kunden-IDs, Bestellnummern oder Einmal-Links enthalten, geben Sie Kundendaten an Dritte weiter, die Sie nicht kontrollieren. Das ist ein Datenschutzproblem, das Aufsichtsbehörden ernst nehmen, ein still gebrochenes Datenschutzversprechen und eine bewertete Lücke, die das Sicherheitsteam eines Kunden bei der Prüfung markieren wird.

Was Sie das kosten kann

• Ein Kunde füllt ein Formular aus oder führt eine Suche durch, klickt dann einen ausgehenden Link oder eine Anzeige — und die Seitenadresse, samt allem, was er eingab, wird direkt an einen Werbetreibenden oder eine Analysefirma übergeben, mit der Sie das nie teilen wollten.
• Passwort-Rücksetz- und Kontobestätigungs-Links tragen mitunter einen geheimen Token in der Webadresse; ohne diesen Header kann ein Klick auf einen beliebigen Link dieser Seite die ganze Adresse — Token inklusive — an eine fremde Seite weitergeben.
• Private interne Seitenpfade (Adminbereiche, kundenexklusive Seiten, Preisstufen, Dokumentlinks) werden jedem Dritten offengelegt, zu dem Ihre Besucher durchklicken, und liefern Wettbewerbern und Schnüfflern eine Landkarte Ihrer Seite, die sie nie sehen sollten.
• Die Sicherheitsprüfung eines Kunden oder ein Datenschutz-Audit scannt Ihre Seite, sieht keine Referrer-Policy und protokolliert es als Versagen bei der Datensparsamkeit — die Art Befund, die einen Vertrag oder eine Zertifizierung ins Stocken bringt.
• Personenbezogene Daten landen bei Auftragsverarbeitern, mit denen Sie keine Vereinbarung haben, und machen aus einem Fünf-Minuten-Versäumnis eine meldepflichtige Datenschutzverletzung.

Warum es wichtig ist. Browser sind, sich selbst überlassen, geschwätzig: standardmäßig sagen sie der nächsten Website, woher ein Besucher gerade kam, oft samt der vollständigen Adresse der Seite. Bei einer reinen Broschüren-Seite mag das harmlos sein, doch sobald Ihre Adressen etwas Persönliches enthalten — einen Suchbegriff, eine Bestell-ID, eine E-Mail in einem Link, einen privaten Pfad — leakt dieser Standard das still an Außenstehende. Eine Referrer-Policy ist die eine Einstellung, die Browsern sagt, das Überteilen einzustellen. Es ist eine bewertete Prüfung auf Ihrer Scorecard mit echten Punkten, sie ordnet sich direkt den Datensparsamkeitspflichten des Datenschutzrechts zu, und sie ist einer der Standard-Sicherheits-Header, den jede professionelle Prüfung erwartet.

Worum es geht, in einfachen Worten

Jedes Mal, wenn ein Besucher auf Ihrer Website einen Link zu einer anderen Seite anklickt — einen ausgehenden Link, ein Banner, ein “Dies teilen”, selbst eine von woanders geladene Schrift oder ein Bild — heftet sein Browser still einen Vermerk an, von welcher Ihrer Seiten er kam. Dieser Vermerk heißt Referrer.

Vernünftig genutzt ist der Referrer harmlos und sogar hilfreich: so wissen andere Seiten, dass Verkehr von Ihnen kam, und er treibt viel ehrliche Analytik an. Der Haken liegt im Standardverhalten. Unverwaltet sagt der Browser nicht nur “sie kamen von ihr-unternehmen.de” — er übergibt oft die vollständige Adresse der genauen Seite, samt allem nach dem Domainnamen. Und Webadressen tragen weit mehr, als die Leute ahnen: in Ihre Seite getippte Suchbegriffe, Bestell- und Kontonummern, den Pfad zu einer privaten, nur Mitgliedern zugänglichen Seite, sogar Einmal-Geheim-Token in Passwort-Rücksetz- und Bestätigungs-Links.

Eine Referrer-Policy ist eine einzige Anweisung, die Ihre Website dem Browser sendet und die sagt, wie viel von diesem Vermerk er teilen darf. Sie können ihm sagen, nur Ihren Domainnamen zu teilen, nur mit anderen Seiten Ihrer eigenen Website, oder gar nichts. Stellen Sie es sich vor wie den Unterschied, einem Fremden Ihre vollständige Wohnadresse samt Tagesablauf zu geben, gegenüber ihm nur zu sagen, in welcher Stadt Sie wohnen.

Dies ist einer aus einer kleinen Familie von “Sicherheits-Headern” — kurzen Anweisungen, die Ihre Seite dem Browser jedes Besuchers gibt. Er ändert nicht, wie Ihre Seite aussieht oder funktioniert. Er hält den Browser nur davon ab, in Ihrem Namen zu überteilen.

Was Sie das kosten kann

Hier sind konkrete, alltägliche Arten, wie eine fehlende oder freizügige Referrer-Policy echte Unternehmen trifft. Keine davon braucht einen Hacker — sie geschehen automatisch, jeden Tag, im normalen Gebrauch.

• Die geleakte Suche. Ein Kunde sucht auf Ihrer Seite nach etwas Sensiblem — einem medizinischen Produkt, einem Schuldendienst, einem Wettbewerbsvergleich — und der Suchbegriff landet in der Seitenadresse. Dann klickt er einen ausgehenden Link oder eine Anzeige auf dieser Ergebnisseite. Der Werbetreibende erhält nun Ihre Adresse mit dem Suchbegriff darin und erfährt genau, wonach Ihr Kunde suchte. Sie haben dem nie zugestimmt, und Sie können es nicht zurücknehmen.

• Der freigelegte Rücksetz-Link. Viele Systeme legen einen geheimen Einmal-Token in die Adresse von Passwort-Rücksetz-, E-Mail-Bestätigungs- oder “Magic-Login”-Seiten. Enthält diese Seite einen ausgehenden Link oder eine Drittressource, kann die vollständige Adresse — Token inklusive — an eine fremde Seite übergeben werden. Im schlimmsten Fall überlässt das einem Dritten die Schlüssel zu einem Konto.

• Die Seitenlandkarte, die Sie gratis verschenkt haben. Ihre internen Seitenpfade verraten oft Ihre Struktur: /admin, /enterprise-preise, /kunden/acme, /downloads/privater-bericht. Ohne diesen Header erhält jede fremde Seite, zu der Ihre Besucher durchklicken, diese Pfade. Wettbewerber lernen Ihre Preisstufen und Produktlinien; Scraper lernen, welche Seiten anzugreifen sind.

• Die ungewollte Datenteilungs-Beziehung. Das Datenschutzrecht erwartet, dass Sie wissen, wohin die personenbezogenen Daten Ihrer Kunden gehen, und dass eine Vereinbarung besteht. Seitenadressen mit Kunden-IDs oder E-Mail-Adressen an Werbenetzwerke und Analysefirmen zu leaken — ohne Vereinbarung und ohne Einwilligung — ist genau die Art unkontrollierten Datenflusses, die aus einer Routineprüfung einen Befund macht und aus einem Befund eine meldepflichtige Verletzung.

• Der Abschluss, der bei der Prüfung stockt. Wenn das Sicherheitsteam eines größeren Kunden Sie prüft, sind fehlende Standard-Sicherheits-Header ein schnelles, automatisiertes Abhaken. Eine fehlende Referrer-Policy zu sehen sagt ihnen, dass grundlegende Datenschutzhygiene nie eingerichtet wurde — und dieser Eindruck färbt alles andere in der Prüfung.

Was es tatsächlich ist

Standardmäßig folgen Browser auf modernen Versionen einem Verhalten, das grob “strict-origin-when-cross-origin” entspricht — aber darauf können Sie sich nicht verlassen, denn ältere Browser, eingebettete Webviews und bestimmte Konfigurationen fallen weiterhin auf mehr Leaken zurück. Sicher sein können Sie nur, indem Sie die Richtlinie ausdrücklich setzen. Tun Sie das, wählen Sie eine Regel aus einer kurzen Liste. Die wichtigen:

• no-referrer — nichts teilen. Der nächsten Seite wird nichts darüber gesagt, woher der Besucher kam. Maximaler Datenschutz; kann Ihre Verweis-Analytik dämpfen.
• same-origin — die vollständige Adresse nur teilen, wenn der Besucher zwischen Seiten Ihrer eigenen Website wechselt; mit fremden Seiten nichts teilen.
• strict-origin-when-cross-origin — der empfohlene Standard. Innerhalb Ihrer eigenen Seite wird der vollständige Pfad geteilt; zu fremden Seiten nur Ihr nackter Domainname (und gar nichts, wenn von einer sicheren zu einer unsicheren Seite gewechselt wird). Außenstehende erfahren, dass der Verkehr von Ihnen kam, aber nie die privaten Details nach Ihrer Domain.
• origin — immer nur Ihren Domainnamen teilen, selbst innerhalb Ihrer eigenen Seite.

Und die zwei zu vermeidenden Werte, weil die Scorecard sie als nicht besser als gar keinen Header behandelt:

• unsafe-url — die vollständige Adresse mit jedem teilen, immer. Der schlimmste Fall in einem einzigen Wort.
• no-referrer-when-downgrade — der alte Browser-Standard; er sendet die vollständige Adresse weiterhin an andere sichere Seiten und leakt alles oben Beschriebene.

Wie “gut” aussieht: ein Referrer-Policy-Header ist vorhanden und auf einen restriktiven Wert gesetzt — für die meisten Unternehmen strict-origin-when-cross-origin. Das hält die Verweis-Analytik am Laufen und sorgt zugleich dafür, dass nichts nach Ihrem Domainnamen je eine fremde Seite erreicht.

So beheben Sie es (kostenlos, etwa 5 Minuten)

Geben Sie diesen Abschnitt an Ihre IT-Kraft, Webentwicklerin oder Ihren Hosting-Support — die Behebung ist kostenlos, eine einzige Zeile, und sie zerbricht Ihre Seite nicht. Hier gibt es kein riskantes Ausrollen: anders als manche Sicherheitseinstellungen kann eine vernünftige Referrer-Policy Ihre Links oder Seiten nicht am Funktionieren hindern. Sie kürzt nur, was mit anderen Seiten geteilt wird.

Das Ziel: einen Referrer-Policy-Antwort-Header mit dem Wert strict-origin-when-cross-origin setzen (oder einem strengeren Wert, wenn Sie noch weniger teilen möchten).

Cloudflare (kein Code — am einfachsten, wenn Sie es nutzen): Dashboard → Ihre Domain → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Header-Name Referrer-Policy, Wert strict-origin-when-cross-origin → auf alle eingehenden Anfragen anwenden → Deploy.

Google Workspace / Microsoft 365: diese verwalten Ihre E-Mail, nicht Ihre Website, daher wird der Header dort gesetzt, wo Ihre Seite tatsächlich gehostet wird (Ihr Webhost, CDN oder Server) — nicht in der Workspace- oder 365-Verwaltung. Identifizieren Sie den Host und nutzen Sie die passende Option unten.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (in der Seitenkonfiguration oder .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / gängige Hosts: die meisten verwalteten WordPress- und Shared-Hosts lassen Sie Antwort-Header entweder über ein Sicherheits-Plugin, ein “Headers”-Panel im Hosting-Kontrollpanel oder das obige .htaccess-Snippet hinzufügen. Sind Sie hinter Cloudflare, ist die Cloudflare-Methode die sauberste und gilt überall auf einmal.

Nach dem Anwenden: laden Sie Ihre Seite und führen die Prüfung erneut aus, oder nutzen Sie die Entwicklertools Ihres Browsers (Tab Netzwerk → Klick auf das Hauptdokument → Response Headers), um zu bestätigen, dass Referrer-Policy: strict-origin-when-cross-origin vorhanden ist.

Häufige Fehler

• Einen freizügigen Wert setzen und annehmen, er zähle. unsafe-url und no-referrer-when-downgrade leaken beide weiterhin die vollständige Adresse. Die Scorecard bewertet sie mit null — identisch mit gar keinem Header. Ist der Header vorhanden, die Punkte aber nicht, ist das fast immer der Grund.
• Ihn nur auf der Startseite setzen. Der Header sollte auf jeder Seite gesendet werden, denn die Leaks geschehen auf Suchergebnis-, Konto- und Rücksetzseiten — nicht auf der Startseite. Setzen Sie ihn auf Server-, CDN- oder Cloudflare-Ebene, damit er automatisch seitenweit gilt.
• Ihn nur in HTML-<meta>-Tags setzen. Ein <meta name="referrer">-Tag funktioniert in manchen Fällen, aber nicht in allen, und ist über Seiten hinweg leicht inkonsistent. Ihn als richtigen Antwort-Header zu setzen (die Methoden oben) ist der verlässliche Ansatz.
• Eine Ebene die andere überschreiben lassen. Setzen sowohl Ihr Ursprungsserver als auch Ihr CDN den Header mit unterschiedlichen Werten, kann das Ergebnis unvorhersehbar sein. Wählen Sie einen Ort zur Verwaltung — meist das CDN oder Cloudflare, falls vorhanden — und halten Sie den Rest konsistent.
• Ihn als Ersatz dafür behandeln, Daten aus URLs herauszuhalten. Der Header begrenzt den Schaden, aber die sauberere Langzeit-Gewohnheit ist, Geheimnisse und personenbezogene Daten gar nicht erst in Webadressen zu legen. Nutzen Sie den Header jetzt; sprechen Sie die URL-Hygiene mit Ihrer Entwicklerin als Folgemaßnahme an.

Eine kurze Anmerkung zu den verwandten Headern

Die Referrer-Policy steht neben einer kleinen Gruppe weiterer von uns geprüfter Web-Sicherheits-Header — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und einigen fortgeschrittenen Cross-Origin-Headern. Sie schützen Verschiedenes, daher deckt einer die anderen nicht ab. Fehlt Ihre Referrer-Policy, lohnt es sich, die Person, die sie behebt, zu bitten, gleich zu bestätigen, dass die anderen Standard-Header vorhanden sind, da sie typischerweise am selben einen Ort konfiguriert werden und der Aufwand nichts Zusätzliches kostet.

Kurz gesagt

Die Referrer-Policy ist die günstigste, sicherste Datenschutz-Behebung auf Ihrer Scorecard: eine Zeile, rund fünf Minuten, kein Risiko, etwas zu zerbrechen, und kostenlos. Sie hindert die Browser Ihrer Besucher daran, Ihre privaten Seitenadressen — und die darin enthaltenen personenbezogenen Daten — still an jede fremde Seite zu übergeben, zu der sie durchklicken. Setzen Sie sie auf strict-origin-when-cross-origin, bestätigen Sie, dass sie auf jeder Seite aktiv ist, und die mittelschwere Lücke samt ihren 15 Punkten ist geschlossen.

FAQ