Defaults.Exposed › תיקונים › Referrer-Policy

כיצד לתקן Referrer-Policy

Referrer-Policy היא הוראה בשורה אחת שהאתר שלך נותן לדפדפן של כל מבקר, ששולטת בכמה מהכתובת שלך נוסעת איתם כשהם לוחצים על קישור לאתר אחר. ללא זה, הכתובת המלאה של כל דף שהיו בו — מונחי חיפוש, מספרי חשבון, קישורי איפוס, נתיבי עמוד פנימיים וכולם — מועברת בשקט לאתר הבא שהם נוחתים בו, כולל מפרסמים, חברות אנליטיקה, וכל מקום אחר שאליו מצביע קישור.

השורה התחתונה לעסק שלכם: בכל פעם שמבקר לוחץ על קישור יוצא, פרסומת, או משאב משותף, הדפדפן שלו יכול למסור את הכתובת המלאה של הדף שלך ליעד — ואם הכתובות שלך מכילות שאילתות חיפוש, מזהי לקוחות, מספרי הזמנות, או קישורים חד-פעמיים, אתה מדליף נתוני לקוחות לגורמי צד שלישי שאינך שולט בהם. זוהי בעיית הגנת מידע שרגולטורים מתייחסים אליה ברצינות, הבטחת פרטיות שנשברת בשקט, ופרצה מנוקדת שצוות האבטחה של לקוח יסמן בבדיקת נאותות.

מה זה יכול לעלות לכם

• לקוח ממלא טופס או מריץ חיפוש, ואז לוחץ על קישור יוצא או פרסומת — וכתובת הדף, עם כל מה שהקליד, מועברת ישירות למפרסם או חברת אנליטיקה שמעולם לא התכוונת לשתף איתה.
• קישורי איפוס סיסמה ואישור חשבון לפעמים נושאים אסימון סודי בכתובת האינטרנט; ללא כותרת זו, לחיצה על כל קישור בדף יכולה להעביר את הכתובת המלאה — כולל האסימון — לאתר חיצוני.
• נתיבי עמוד פנימיים פרטיים (אזורי אדמין, עמודים לחברים בלבד, שכבות מחירים, קישורי מסמכים) נחשפים לכל גורם צד שלישי שמבקריך לוחצים לכיוונו, ונותנים למתחרים ולסורקים מפה של האתר שלך שלעולם לא היו צריכים לראות.
• סקירת אבטחה של לקוח או ביקורת פרטיות סורקת את האתר שלך, רואה שאין Referrer-Policy, ורושמת זאת ככשל מינימיזציית מידע — סוג ממצא שעוצר חוזה או הסמכה.
• נתונים אישיים מסתיימים בידי מעבדים שאין לך איתם הסכם, והופכים פיקוח של חמש דקות להפרת הגנת מידע שדורשת דיווח.

מדוע זה חשוב. דפדפנים, כשהם מסורים לעצמם, הם פטפטנים: כברירת מחדל הם אומרים לאתר הבא מאין הגיע מבקר, לעתים קרובות כולל הכתובת המלאה של הדף. לאתר פרוספקטוס זה עשוי להיות לא מזיק, אבל ברגע שהכתובות שלך מכילות משהו אישי — מונח חיפוש, מזהה הזמנה, אימייל בקישור, נתיב פרטי — ברירת המחדל הזו מדליפה אותו בשקט לגורמים חיצוניים. Referrer-Policy היא ההגדרה היחידה שאומרת לדפדפנים להפסיק לשתף יתר על המידה. זוהי בדיקה מנוקדת בכרטיס הניקוד שלך שממשה נקודות אמיתיות, היא ממפה ישירות לחובות מינימיזציית מידע לפי חוק הפרטיות, וזוהי אחת מכותרות האבטחה הסטנדרטיות שכל סקירה מקצועית מצפה למצוא.

מה זה, בשפה פשוטה

בכל פעם שמבקר באתר שלך לוחץ על קישור לאתר אחר — קישור יוצא, באנר פרסומת, “שתף את זה”, ואפילו גופן או תמונה שנטענים ממקום אחר — הדפדפן שלהם מצרף בשקט הערה שאומרת מאיזה דף שלך הגיעו. ההערה הזו נקראת referrer.

בשימוש נבון, ה-referrer הוא לא מזיק ואפילו מועיל: כך אתרים אחרים יודעים שהתנועה הגיעה ממך, והוא מניע הרבה מהאנליטיקה הכנה. הלכידה היא בהתנהגות ברירת המחדל. ללא ניהול, הדפדפן לא אומר רק “הגיעו מ-your-business.com” — הוא לעתים קרובות מוסר את הכתובת המלאה של הדף המדויק, כולל כל מה שאחרי שם הדומיין. וכתובות אינטרנט מכילות הרבה יותר ממה שאנשים מבינים: מונחי חיפוש שהוקלדו באתר שלך, מספרי הזמנה וחשבון, הנתיב לדף חברים-בלבד פרטי, ואפילו אסימונים סודיים חד-פעמיים בקישורי איפוס סיסמה ואישור.

Referrer-Policy היא הוראה יחידה שהאתר שלך שולח לדפדפן שאומרת כמה מהערה הזו מותר לו לשתף. אתה יכול לאמר לו לשתף רק את שם הדומיין שלך, רק לדפים אחרים באתר שלך בלבד, או שום דבר. חשוב על זה כהבדל בין מסירת לזר כתובת הבית המלאה שלך עם לוח הזמנים היומי שלך מצורף, לבין רק לאמר להם באיזו עיר אתה גר.

זוהי אחת ממשפחה קטנה של “כותרות אבטחה” — הוראות קצרות שהאתר שלך נותן לדפדפן של כל מבקר. היא לא משנה את מראה האתר שלך או את אופן פעולתו. היא פשוט עוצרת את הדפדפן מלשתף יתר על המידה בשמך.

מה זה יכול לעלות לך

הנה דרכים מוחשיות ויומיומיות שבהן Referrer-Policy חסרה או מתירנית נושכת עסקים אמיתיים. אף אחת מאלה לא דורשת האקר — הן קורות אוטומטית, כל יום, בשימוש רגיל.

• החיפוש שדלף. לקוח מחפש באתר שלך משהו רגיש — מוצר רפואי, שירות הקשור לחוב, השוואת מתחרים — ומונח החיפוש נוחת בכתובת הדף. הם אז לוחצים על קישור יוצא או פרסומת בדף התוצאות. המפרסם מקבל עכשיו את הכתובת שלך עם מונח החיפוש בה, לומד בדיוק מה הלקוח שלך חיפש. מעולם לא הסכמת לשתף זאת, ואינך יכול לקחת את זה בחזרה.

• קישור האיפוס שנחשף. מערכות רבות שמות אסימון סודי חד-פעמי בכתובת של דפי איפוס סיסמה, אישור אימייל, או “כניסה קסומה”. אם דף זה מכיל קישור יוצא כלשהו או משאב של גורם שלישי, הכתובת המלאה — כולל האסימון — יכולה להיות מועברת לאתר חיצוני. במקרה הגרוע ביותר זה מוסר לגורם שלישי את המפתחות לחשבון.

• מפת האתר שנתת בחינם. נתיבי הדפים הפנימיים שלך לעתים קרובות חושפים את המבנה שלך: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. ללא כותרת זו, כל אתר חיצוני שמבקריך לוחצים לכיוונו מקבל נתיבים אלה. מתחרים לומדים את שכבות המחירים וקווי המוצרים שלך; סורקים לומדים אילו דפים לכוון.

• מערכת היחסים הלא רצויה של שיתוף מידע. חוק הפרטיות מצפה ממך לדעת לאן נתוני לקוחותיך הולכים ולהחזיק הסכם. דליפת כתובות דפים המכילות מזהי לקוחות או כתובות אימייל לרשתות פרסום וחברות אנליטיקה — ללא הסכם וללא הסכמה — היא בדיוק סוג זרימת המידע הלא מבוקרת שהופכת ביקורת שגרתית לממצא, וממצא להפרצה שדורשת דיווח.

• העסקה שעוצרת בבדיקת נאותות. כשצוות האבטחה של לקוח גדול יותר בוחן אותך, כותרות אבטחה סטנדרטיות חסרות הן תיבת סימון מהירה ואוטומטית. ראיית Referrer-Policy נעדרת אומרת להם שהיגיינת פרטיות בסיסית לא הוגדרה — והרושם הזה צובע את כל השאר בסקירה.

מה זה בעצם

כברירת מחדל, דפדפנים פועלים בהתנהגות שקרובה ל-”strict-origin-when-cross-origin” בגרסאות מודרניות — אבל אתה לא יכול לסמוך על זה, כיוון שדפדפנים ישנים, webviews מוטמעים, ותצורות מסוימות עדיין נופלים לדיווח יותר. הדרך היחידה להיות בטוח היא להגדיר את המדיניות במפורש. כשאתה עושה זאת, אתה בוחר כלל אחד מרשימה קצרה. הכללים שחשובים:

• no-referrer — לא לשתף שום דבר. לאתר הבא נאמר שום דבר על מאין הגיע המבקר. פרטיות מקסימלית; יכולה לדכא את אנליטיקת ה-referral שלך.
• same-origin — שתף את הכתובת המלאה רק כשהמבקר עובר בין דפים באתר שלך בלבד; לא לשתף שום דבר עם אתרים חיצוניים.
• strict-origin-when-cross-origin — ברירת המחדל המומלצת. בתוך האתר שלך, הנתיב המלא משותף; לאתרים חיצוניים, רק שם הדומיין שלך בלבד משותף (ושום דבר כשעוברים מדף מאובטח ללא מאובטח). גורמים חיצוניים לומדים שהתנועה הגיעה ממך, אבל לעולם לא הפרטים הפרטיים שאחרי הדומיין שלך.
• origin — תמיד שתף רק את שם הדומיין שלך, גם בתוך האתר שלך.

ושני הערכים שיש להימנע מהם, כי כרטיס הניקוד מתייחס אליהם כלא טובים יותר מאשר אין כותרת:

• unsafe-url — שתף את הכתובת המלאה עם כולם, תמיד. זהו המקרה הגרוע ביותר במילה אחת.
• no-referrer-when-downgrade — ברירת המחדל הישנה של הדפדפן; הוא עדיין שולח את הכתובת המלאה לאתרים מאובטחים אחרים, ומדליף כל מה שתואר למעלה.

מה נראה “טוב”: כותרת Referrer-Policy קיימת ומוגדרת לערך מגביל — עבור רוב העסקים, strict-origin-when-cross-origin. זה שומר על אנליטיקת referral עובדת בזמן שמבטיח שלא ישלח שום דבר מעבר לשם הדומיין שלך לאתר חיצוני.

כיצד לתקן (חינם, כ-5 דקות)

מסור חלק זה לאיש ה-IT שלך, מפתח האינטרנט שלך, או תמיכת האירוח — התיקון חינמי, הוא שורה יחידה, ולא ישבור את האתר שלך. אין כאן פריסה מסוכנת: בשונה מחלק מהגדרות האבטחה, Referrer-Policy נבון לא יכול לעצור קישורים או דפים שלך מלעבוד. הוא רק מקצץ מה משותף עם אתרים אחרים.

המטרה: הגדר כותרת תגובת Referrer-Policy עם הערך strict-origin-when-cross-origin (או ערך הדוק יותר אם אתה מעדיף לשתף עוד פחות).

Cloudflare (ללא קוד — הכי קל אם אתה משתמש בו): Dashboard → הדומיין שלך → Rules → Transform Rules → Modify Response Header → Create rule → Set static → שם כותרת Referrer-Policy, ערך strict-origin-when-cross-origin → יישם על כל הבקשות הנכנסות → Deploy.

Google Workspace / Microsoft 365: אלה מנהלים את האימייל שלך, לא את האתר שלך, אז הכותרת נקבעת היכן שהאתר שלך מתארח בפועל (מארח האינטרנט, CDN, או שרת שלך) — לא בניהול Workspace או 365. זהה את המארח והשתמש באפשרות המתאימה למטה.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (בתצורת האתר או .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / מארחים נפוצים: רוב WordPress המנוהל ומארחים משותפים מאפשרים לך להוסיף כותרות תגובה דרך פלאגין אבטחה, לוח “headers” בלוח הבקרה של האירוח, או קטע ה-.htaccess למעלה. אם אתה מאחורי Cloudflare, שיטת Cloudflare היא הנקייה ביותר ומיושמת בכל מקום בבת אחת.

לאחר יישום: טען את האתר שלך והרץ מחדש את הבדיקה, או השתמש בכלי מפתח הדפדפן שלך (לשונית Network → לחץ על המסמך הראשי → Response Headers) כדי לאשר ש-Referrer-Policy: strict-origin-when-cross-origin קיים.

טעויות נפוצות

• הגדרת ערך מתירני והנחה שהוא נחשב. unsafe-url ו-no-referrer-when-downgrade שניהם עדיין מדליפים את הכתובת המלאה. כרטיס הניקוד מנקד אותם אפס — זהה לאין כותרת. אם הכותרת קיימת אבל הנקודות לא, זה כמעט תמיד הסיבה.
• הגדרתה בדף הבית בלבד. הכותרת צריכה להישלח על כל דף, כיוון שהדליפות קורות בדפי חיפוש-תוצאות, חשבון, ואיפוס — לא בדף הבית. הגדר אותה ברמת השרת, CDN, או Cloudflare כך שהיא מיושמת באתר כולו אוטומטית.
• הגדרתה בתגיות HTML <meta> בלבד. תגית <meta name="referrer"> עובדת לחלק מהמקרים אבל לא לכולם, וקל לקבל חוסר עקביות בין דפים. הגדרתה ככותרת תגובה ראויה (השיטות למעלה) היא הגישה האמינה.
• הרשאת שכבה אחת לעקוף אחרת. אם גם שרת המקור שלך וגם ה-CDN שלך מגדירים את הכותרת עם ערכים שונים, התוצאה עלולה להיות בלתי צפויה. בחר מקום אחד לנהל אותה — בדרך כלל ה-CDN או Cloudflare אם יש לך — ושמור את השאר עקבי.
• התייחסות אליה כתחליף לשמירת מידע מחוץ לכתובות URL. הכותרת מגבילה את הנזק, אבל ההרגל הנקי יותר לטווח ארוך הוא לא לשים סודות ומידע אישי בכתובות אינטרנט מלכתחילה. הגדר את הכותרת עכשיו; העלה את היגיינת ה-URL עם המפתח שלך כמעקב.

הערה קצרה על הכותרות הקשורות

Referrer-Policy יושבת לצד קבוצה קטנה של כותרות אבטחת אינטרנט אחרות שאנחנו בודקים — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, וכמה כותרות cross-origin מתקדמות. הן מגינות על דברים שונים, כך שקיום אחת לא מכסה את האחרות. אם Referrer-Policy חסרה, כדאי לבקש ממי שמתקן זאת לאשר שהכותרות הסטנדרטיות האחרות קיימות בו זמנית, כיוון שהן בדרך כלל מוגדרות באותו מקום אחד והביקור לא עולה שום דבר נוסף.

בקצרה

Referrer-Policy היא תיקון הפרטיות הזול והבטוח ביותר בכרטיס הניקוד שלך: שורה אחת, כ-5 דקות, ללא סיכון לשבור דבר, וחינם. הוא עוצר את הדפדפנים של מבקריך מלמסור בשקט את כתובות הדפים הפרטיות שלך — וכל נתוני אישי שהם מכילים — לכל אתר חיצוני שלוחצים לכיוונו. הגדר אותה ל-strict-origin-when-cross-origin, אשר שהיא חיה על כל דף, והפרצה בחומרה בינונית ו-15 הנקודות שלה נסגרות.

שאלות נפוצות