Defaults.Exposed › Διορθώσεις › Referrer-Policy

Πώς να διορθώσετε Referrer-Policy

Μια Referrer-Policy είναι μια οδηγία μιας γραμμής που ο ιστότοπός σας παραδίδει στο πρόγραμμα περιήγησης κάθε επισκέπτη, ελέγχοντας πόσο από τη web διεύθυνσή σας ταξιδεύει μαζί τους όταν κάνουν κλικ σε σύνδεσμο προς άλλο ιστότοπο. Χωρίς αυτήν, η πλήρης διεύθυνση της σελίδας στην οποία βρίσκονταν — όροι αναζήτησης, αριθμοί λογαριασμού, συνδέσμοι επαναφοράς, εσωτερικά μονοπάτια σελίδων — αθόρυβα παραδίδεται στον επόμενο ιστότοπο που καταλήγουν, συμπεριλαμβανομένων διαφημιστών, αναλυτικών εταιρειών και οπουδήποτε αλλού δείχνει ένας σύνδεσμος.

Ουσία για την επιχείρησή σας: Κάθε φορά που ένας επισκέπτης κάνει κλικ σε εξερχόμενο σύνδεσμο, διαφήμιση ή κοινόχρηστο resource, το πρόγραμμα περιήγησής του μπορεί να παραδώσει την πλήρη διεύθυνση της σελίδας σας στον προορισμό — και αν οι διευθύνσεις σας φέρουν ερωτήματα αναζήτησης, αναγνωριστικά πελατών, αριθμούς παραγγελιών ή μονάδες-μία-χρήσης, διαρρέετε δεδομένα πελατών σε τρίτα μέρη που δεν ελέγχετε.

Τι μπορεί να σας κοστίσει αυτό

Ένας πελάτης συμπληρώνει φόρμα ή εκτελεί αναζήτηση, μετά κάνει κλικ σε εξερχόμενο σύνδεσμο ή διαφήμιση — και η διεύθυνση σελίδας, πλήρης με αυτό που πληκτρολόγησαν, παραδίδεται κατευθείαν σε διαφημιστή ή αναλυτική εταιρεία που δεν σκοπεύατε ποτέ να μοιραστείτε.
Σύνδεσμοι επαναφοράς κωδικού και επιβεβαίωσης λογαριασμού μερικές φορές φέρουν μυστικό token στη web διεύθυνση· χωρίς αυτή τη header, κάνοντας κλικ οποιοδήποτε σύνδεσμο σε εκείνη τη σελίδα μπορεί να περάσει ολόκληρη τη διεύθυνση — token συμπεριλαμβανομένου — σε εξωτερικό ιστότοπο.
Ιδιωτικά εσωτερικά μονοπάτια σελίδων (περιοχές διαχείρισης, σελίδες μόνο για πελάτες, διαβαθμίσεις τιμών) αποκαλύπτονται σε κάθε τρίτο μέρος μέσω του οποίου κάνουν κλικ οι επισκέπτες.
Ανασκόπηση ασφαλείας πελάτη ή ελεγκτής ιδιωτικότητας σαρώνει τον ιστότοπό σας, βλέπει καμία Referrer-Policy, και το καταγράφει ως αποτυχία ελαχιστοποίησης δεδομένων.
Προσωπικά δεδομένα καταλήγουν στα χέρια επεξεργαστών με τους οποίους δεν έχετε συμφωνία.

Γιατί έχει σημασία. Τα προγράμματα περιήγησης, αφεθεί στη μοίρα τους, είναι φλύαρα: από προεπιλογή λένε στον επόμενο ιστότοπο πού μόλις ήταν ένας επισκέπτης, συχνά συμπεριλαμβανομένης της πλήρους διεύθυνσης της σελίδας. Μια Referrer-Policy είναι η μόνη ρύθμιση που λέει στα προγράμματα περιήγησης να σταματήσουν να μοιράζουν υπερβολικά. Είναι βαθμολογούμενος έλεγχος στην κάρτα αποτελεσμάτων σας αξίζει πραγματικούς βαθμούς, αντιστοιχεί άμεσα σε υποχρεώσεις ελαχιστοποίησης δεδομένων βάσει νόμων ιδιωτικότητας, και είναι μία από τις τυπικές headers ασφαλείας που κάθε επαγγελματική ανασκόπηση αναμένει να βρει.

Με απλά λόγια

Κάθε φορά που ένας επισκέπτης στον ιστότοπό σας κάνει κλικ σε σύνδεσμο σε άλλο ιστότοπο, το πρόγραμμα περιήγησής του αθόρυβα επισυνάπτει ένα σημείωμα που λέει από ποια σελίδα σας ήρθε. Αυτό το σημείωμα ονομάζεται referrer.

Χρησιμοποιούμενος με σύνεση, ο referrer είναι αβλαβής και ακόμα χρήσιμος: έτσι γνωρίζουν άλλοι ιστότοποι ότι η κίνηση ήρθε από εσάς. Η αλιεία είναι στην προεπιλεγμένη συμπεριφορά. Ανεπίβλεπτο, το πρόγραμμα περιήγησης δεν λέει απλώς «ήρθαν από yourbusiness.com» — συχνά παραδίδει την πλήρη διεύθυνση της ακριβής σελίδας, συμπεριλαμβανομένου παντός μετά το domain. Και οι web διευθύνσεις φέρουν πολύ περισσότερα από ό,τι συνειδητοποιούν οι άνθρωποι: όρους αναζήτησης, αριθμούς λογαριασμού, το μονοπάτι σε ιδιωτική σελίδα μόνο για μέλη, ακόμα και μυστικά tokens μιας-χρήσης.

Μια Referrer-Policy είναι μια μόνη οδηγία που ο ιστότοπός σας στέλνει στο πρόγραμμα περιήγησης που λέει πόσο από αυτό το σημείωμα επιτρέπεται να μοιράζεται. Σκεφτείτε το ως τη διαφορά μεταξύ του να δίνετε σε άγνωστο την πλήρη διεύθυνση σπιτιού σας με το ημερήσιο πρόγραμμά σας, έναντι του να τους λέτε απλώς σε ποια πόλη μένετε.

Τι μπορεί να σας κοστίσει

Η διαρρέουσα αναζήτηση. Ένας πελάτης αναζητά κάτι ευαίσθητο στον ιστότοπό σας και ο όρος αναζήτησης καταλήγει στη διεύθυνση σελίδας. Κάνουν κλικ σε διαφήμιση στη σελίδα αποτελεσμάτων. Ο διαφημιστής τώρα λαμβάνει τη διεύθυνσή σας με τον όρο αναζήτησης.
Ο εκτεθειμένος σύνδεσμος επαναφοράς. Πολλά συστήματα βάζουν μυστικό token μιας-χρήσης στη διεύθυνση σελίδων επαναφοράς κωδικού. Αν εκείνη η σελίδα περιέχει οποιονδήποτε εξερχόμενο σύνδεσμο ή resource τρίτου, η πλήρης διεύθυνση — token συμπεριλαμβανομένου — μπορεί να παραδοθεί σε εξωτερικό ιστότοπο.
Ο χάρτης ιστότοπου που δώσατε δωρεάν. Τα εσωτερικά μονοπάτια σελίδων συχνά αποκαλύπτουν τη δομή σας: /admin, /enterprise-pricing, /clients/acme. Χωρίς αυτή τη header, κάθε εξωτερικός ιστότοπος μέσω του οποίου κάνουν κλικ οι επισκέπτες σας λαμβάνει αυτά τα μονοπάτια.
Η ανεπιθύμητη σχέση κοινής χρήσης δεδομένων. Η νομοθεσία ιδιωτικότητας αναμένει να γνωρίζετε σε ποιους πηγαίνουν τα δεδομένα πελατών σας και να έχετε συμφωνία. Η διαρροή διευθύνσεων που περιέχουν αναγνωριστικά πελατών σε δίκτυα διαφημίσεων — χωρίς συμφωνία και χωρίς συγκατάθεση — είναι ακριβώς ο ανεξέλεγκτος τύπος ροής δεδομένων.

Τι είναι στην πραγματικότητα

Οι τιμές που έχουν σημασία:

no-referrer — μοιράστε τίποτα. Μέγιστη ιδιωτικότητα.
same-origin — μοιραστείτε πλήρη διεύθυνση μόνο μέσα στον ίδιο σας τον ιστότοπο· τίποτα σε εξωτερικούς.
strict-origin-when-cross-origin — η συνιστώμενη προεπιλογή. Μέσα στον ίδιο σας τον ιστότοπο, μοιράζεται η πλήρης διαδρομή· σε εξωτερικούς ιστότοπους, μοιράζεται μόνο το domain σας. Εξωτερικά μέρη μαθαίνουν ότι η κίνηση ήρθε από εσάς, αλλά ποτέ τις ιδιωτικές λεπτομέρειες.
origin — μοιράζεστε πάντα μόνο το domain σας.

Και οι δύο τιμές που αποφεύγετε, επειδή τις βαθμολογούμε ίσα με μηδέν:

unsafe-url — μοιράζεστε πλήρη διεύθυνση με όλους, πάντα.
no-referrer-when-downgrade — παλιά προεπιλογή browser· εξακολουθεί να στέλνει πλήρη διεύθυνση.

Πώς να το διορθώσετε (δωρεάν, ~5 λεπτά)

Στόχος: ορίστε header απόκρισης Referrer-Policy με τιμή strict-origin-when-cross-origin.

Cloudflare (χωρίς κώδικα — ευκολότερο): Dashboard → το domain σας → Rules → Transform Rules → Modify Response Header → Δημιουργία κανόνα → Header name Referrer-Policy, τιμή strict-origin-when-cross-origin → Εφαρμογή.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS:

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

Συνηθισμένα λάθη

Ορισμός επιτρεπτικής τιμής με υπόθεση ότι μετράει. Τα unsafe-url και no-referrer-when-downgrade εξακολουθούν να διαρρέουν πλήρη διεύθυνση. Η κάρτα αποτελεσμάτων τα βαθμολογεί με μηδέν.
Ορισμός μόνο στην αρχική σελίδα. Η header πρέπει να αποστέλλεται σε κάθε σελίδα. Ορίστε σε επίπεδο server, CDN ή Cloudflare.
Ορισμός μόνο σε HTML <meta> tags. Το tag <meta name="referrer"> λειτουργεί σε ορισμένες περιπτώσεις αλλά όχι σε όλες. Ο ορισμός ως σωστή header απόκρισης είναι η αξιόπιστη προσέγγιση.
Αντικατάσταση του να κρατάτε δεδομένα εκτός URLs. Η header περιορίζει τη ζημιά, αλλά η πιο καθαρή μακροπρόθεσμη συνήθεια είναι να μην βάζετε μυστικά και προσωπικά δεδομένα σε web διευθύνσεις εξ αρχής.

Εν συντομία

Η Referrer-Policy είναι η φτηνότερη, ασφαλέστερη διόρθωση ιδιωτικότητας στην κάρτα αποτελεσμάτων σας: μια γραμμή, περίπου πέντε λεπτά, κανένας κίνδυνος να σπάσει τίποτα, και δωρεάν. Σταματά τα προγράμματα περιήγησης των επισκεπτών σας από το να παραδίδουν αθόρυβα τις ιδιωτικές διευθύνσεις σελίδων σας σε κάθε εξωτερικό ιστότοπο. Ορίστε σε strict-origin-when-cross-origin, επιβεβαιώστε ότι είναι ζωντανό σε κάθε σελίδα, και το κενό μεσαίας σοβαρότητας και τα 15 βαθμοί του κλείνουν.

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — είναι αυτό κάτι που μπορώ να χειριστώ στ' αλήθεια;

Ναι, και είναι μία από τις ευκολότερες διορθώσεις σε ολόκληρη την κάρτα αποτελεσμάτων. Είναι μια μόνη γραμμή που προσθέτει όποιος εκτελεί τον ιστότοπο ή τη φιλοξενία σας. Σε υπηρεσίες όπως το Cloudflare είναι μερικά κλικ χωρίς κώδικα. Είναι δωρεάν, χρειάζεται περίπου πέντε λεπτά, και σε αντίθεση με ορισμένες ρυθμίσεις ασφαλείας δεν θα σπάσει τίποτα.

Τι σημαίνει καν 'referrer' εδώ;

Όταν κάποιος κάνει κλικ σε σύνδεσμο από τη σελίδα σας σε άλλον ιστότοπο, το πρόγραμμα περιήγησής του αποστέλλει ένα σημείωμα που λέει από ποια σελίδα σας ήρθαν. Αυτό το σημείωμα ονομάζεται referrer. Το πρόβλημα είναι ότι, από προεπιλογή, το σημείωμα συχνά περιλαμβάνει την πλήρη διεύθυνση σελίδας, όχι μόνο το domain σας. Μια Referrer-Policy σας επιτρέπει να περικόψετε το σημείωμα μόνο στο domain σας, ή να το απενεργοποιήσετε.

Αξίζει τον κόπο αν ο ιστότοπός μας δεν χειρίζεται πληρωμές;

Σχεδόν σίγουρα ναι. Δεν χρειάζεστε checkout για να έχετε ιδιωτικές πληροφορίες στις web διευθύνσεις σας — πλαίσια αναζήτησης, φόρμες επικοινωνίας, σελίδες λογαριασμού και σύνδεσμοι επαναφοράς κωδικού βάζουν τακτικά δεδομένα στη γραμμή διευθύνσεων.

Θα μπορούσε η ενεργοποίηση αυτού να σπάσει τον ιστότοπό μου ή τα analytics μου;

Όχι. Αυτή είναι μία από τις ασφαλείς headers — ελέγχει μόνο πόσες λεπτομέρειες διεύθυνσης μοιράζονται με άλλους ιστότοπους, όχι αν οι σύνδεσμοι λειτουργούν. Η συνιστώμενη ρύθμιση εξακολουθεί να στέλνει το domain σας σε εξωτερικούς ιστότοπους, οπότε τα νόμιμα analytics παραπομπής εξακολουθούν να λειτουργούν.

Είναι αυτό ζήτημα νόμου ιδιωτικότητας ή απλώς χρήσιμο να έχει;

Μπορεί να είναι γνήσιο ζήτημα συμμόρφωσης. Κανονισμοί προστασίας δεδομένων απαιτούν να συλλέγετε και να μοιράζεστε μόνο τα ελάχιστα απαραίτητα προσωπικά δεδομένα. Αν οι διευθύνσεις σας φέρουν προσωπικούς αναγνωριστικούς και τους διαρρέετε σε διαφημιστές ή αναλυτικές εταιρείες χωρίς συμφωνία, αυτή είναι ακριβώς η αποτυχία ελαχιστοποίησης δεδομένων που αναγνωρίζουν οι ελεγκτές.

Επηρεάζει τη βαθμολογία μας, ή είναι απλώς συμβουλή;

Επηρεάζει τη βαθμολογία σας. Ο έλεγχος Referrer-Policy βαθμολογείται και αξίζει έως 15 βαθμούς στην κατηγορία Web Security. Μια ελλείπουσα header επισημαίνεται ως μεσαίας σοβαρότητας. Σημειώστε μία παγίδα: η ρύθμιση της header σε επιτρεπτική τιμή όπως 'unsafe-url' ή 'no-referrer-when-downgrade' βαθμολογείται με μηδέν — ίδιο με το να μην έχετε καθόλου header.