Defaults.Exposed › सुधार › Referrer-Policy
Referrer-Policy को कैसे ठीक करें
एक Referrer-Policy एक एक-पंक्ति निर्देश है जो आपकी वेबसाइट हर विज़िटर के ब्राउज़र को देती है, यह नियंत्रित करती है कि जब वे किसी अन्य साइट पर एक लिंक क्लिक करते हैं तो आपके वेब पते का कितना हिस्सा उनके साथ जाता है। इसके बिना, जिस पेज पर वे थे उसका पूरा पता — खोज शब्द, खाता संख्या, रीसेट लिंक, आंतरिक पेज पथ और सब — अगली साइट को चुपचाप सौंप दिया जाता है, जिसमें विज्ञापनदाता, विश्लेषण फर्म, और जहाँ भी एक लिंक इंगित करता है शामिल है।
आपके व्यवसाय के लिए मुख्य बात: हर बार जब एक विज़िटर एक आउटबाउंड लिंक, विज्ञापन, या साझा संसाधन क्लिक करता है, तो उनका ब्राउज़र आपके पेज का पूरा पता गंतव्य को सौंप सकता है — और यदि आपके पतों में खोज प्रश्न, ग्राहक ID, ऑर्डर नंबर, या एक-समय के लिंक हैं, तो आप ऐसे तृतीय पक्षों को ग्राहक डेटा लीक कर रहे हैं जिन्हें आप नियंत्रित नहीं करते। यह एक डेटा-सुरक्षा समस्या है जिसे नियामक गंभीरता से लेते हैं।
यह आपको क्या खर्च कर सकता है
- एक ग्राहक एक फ़ॉर्म भरता है या एक खोज चलाता है, फिर एक आउटबाउंड लिंक या विज्ञापन क्लिक करता है — और पेज का पता, जो उन्होंने टाइप किया उसके साथ पूरा, सीधे एक विज्ञापनदाता या विश्लेषण फर्म को सौंप दिया जाता है।
- पासवर्ड-रीसेट और खाता-पुष्टि लिंक कभी-कभी एक गुप्त टोकन वेब पते में रखते हैं; इस हेडर के बिना, उस पेज पर कोई भी लिंक क्लिक करने से पूरा पता — टोकन सहित — एक बाहरी साइट को पास हो सकता है।
- निजी आंतरिक पेज पथ (व्यवस्थापन क्षेत्र, ग्राहक-केवल पेज, मूल्य निर्धारण स्तर, दस्तावेज लिंक) उन हर तृतीय पक्ष को प्रकट होते हैं जिनसे विज़िटर क्लिक करते हैं।
- एक क्लाइंट की सुरक्षा समीक्षा या एक गोपनीयता ऑडिट आपकी साइट स्कैन करता है, कोई Referrer-Policy नहीं देखता, और इसे डेटा-न्यूनीकरण विफलता के रूप में लॉग करता है।
- व्यक्तिगत डेटा ऐसे प्रसंस्करणकर्ताओं के हाथों में समाप्त होता है जिनके साथ आपका कोई समझौता नहीं है।
यह क्यों मायने रखता है। ब्राउज़र, खुद पर छोड़े जाने पर, बातूनी हैं: डिफ़ॉल्ट रूप से वे अगली वेबसाइट को बताते हैं कि एक विज़िटर कहाँ से आया, अक्सर पेज का पूरा पता सहित। एक Referrer-Policy एकल सेटिंग है जो ब्राउज़रों को अतिशयोक्ति करना बंद करने के लिए कहती है। यह आपके स्कोरकार्ड पर एक ग्रेड की गई जाँच है जो वास्तविक अंकों के योग्य है।
यह क्या है, सरल शब्दों में
हर बार जब आपकी वेबसाइट पर कोई विज़िटर किसी अन्य साइट के लिंक पर क्लिक करता है — एक आउटबाउंड लिंक, एक बैनर विज्ञापन, एक “इसे साझा करें”, यहाँ तक कि कहीं और से लोड किया गया फ़ॉन्ट या छवि — उनका ब्राउज़र चुपचाप एक नोट संलग्न करता है जो कहता है कि वे आपके किस पेज से आए थे। उस नोट को referrer कहते हैं।
एक Referrer-Policy एक एकल निर्देश है जो आपकी वेबसाइट ब्राउज़र को भेजती है जो यह कहता है कि उस नोट में से कितना साझा करने की अनुमति है।
इससे आपको क्या नुकसान हो सकता है
-
लीक हुई खोज। एक ग्राहक आपकी साइट पर कुछ संवेदनशील खोजता है और खोज शब्द पेज पते में समाप्त होता है। वे फिर उस परिणाम पेज पर एक आउटबाउंड लिंक या विज्ञापन क्लिक करते हैं। विज्ञापनदाता को अब खोज शब्द के साथ आपका पता मिलता है।
-
उजागर रीसेट लिंक। कई सिस्टम पासवर्ड-रीसेट, ईमेल-पुष्टि, या “मैजिक लॉगिन” पेजों के पते में एक गुप्त एक-समय टोकन डालते हैं।
-
वह साइट मानचित्र जो आपने मुफ्त में दे दिया। आपके आंतरिक पेज पथ अक्सर आपकी संरचना प्रकट करते हैं: /admin, /enterprise-pricing, /clients/acme।
-
अनचाहा डेटा-साझाकरण संबंध। गोपनीयता कानून को आपसे यह जानने की उम्मीद है कि आपके ग्राहकों का व्यक्तिगत डेटा कहाँ जाता है।
-
उचित परिश्रम पर रुका सौदा। जब एक बड़े ग्राहक की सुरक्षा टीम आपकी समीक्षा करती है, तो गायब मानक सुरक्षा हेडर एक त्वरित, स्वचालित टिक-बॉक्स है।
यह वास्तव में क्या है
जब आप नीति स्पष्ट रूप से सेट करते हैं, तो आप एक छोटी सूची से एक नियम चुन रहे हैं। जो मायने रखते हैं:
- no-referrer — कुछ भी साझा न करें।
- same-origin — पूरा पता केवल तभी साझा करें जब विज़िटर आपकी अपनी साइट पर पेजों के बीच जाता है; बाहरी साइटों के साथ कुछ भी साझा न करें।
- strict-origin-when-cross-origin — अनुशंसित डिफ़ॉल्ट। आपकी अपनी साइट के भीतर, पूरा पथ साझा किया जाता है; बाहरी साइटों को, केवल आपका बेयर डोमेन नाम साझा किया जाता है।
- origin — हमेशा केवल आपका डोमेन नाम साझा करें, यहाँ तक कि आपकी अपनी साइट के भीतर भी।
और दो मान जिनसे बचना है, क्योंकि स्कोरकार्ड उन्हें कोई हेडर न होने से बेहतर नहीं मानता:
- unsafe-url — पूरा पता हमेशा हर किसी के साथ साझा करें।
- no-referrer-when-downgrade — पुराना ब्राउज़र डिफ़ॉल्ट; यह अभी भी अन्य सुरक्षित साइटों को पूरा पता भेजता है।
इसे कैसे ठीक करें (मुफ्त, लगभग 5 मिनट)
इस अनुभाग को अपने IT व्यक्ति, वेब डेवलपर, या होस्टिंग सपोर्ट को सौंपें — ठीक करना मुफ्त है, यह एकल पंक्ति है, और यह आपकी साइट नहीं तोड़ेगा।
Cloudflare (कोई कोड नहीं — सबसे आसान यदि आप इसे उपयोग करते हैं):
Dashboard → आपका डोमेन → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Header name Referrer-Policy, value strict-origin-when-cross-origin → सभी आने वाले अनुरोधों पर लागू करें → Deploy।
Google Workspace / Microsoft 365: ये आपके ईमेल प्रबंधित करते हैं, आपकी वेबसाइट नहीं।
Nginx:
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Apache (साइट कॉन्फ़िग या .htaccess में):
Header always set Referrer-Policy "strict-origin-when-cross-origin"
IIS (web.config):
<httpProtocol><customHeaders>
<add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>
Node / Express:
app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });
सामान्य गलतियाँ
- एक अनुमेय मान सेट करना और मानना कि यह मायने रखता है।
unsafe-urlऔरno-referrer-when-downgradeदोनों अभी भी पूरा पता लीक करते हैं। - इसे केवल होमपेज पर सेट करना। हेडर हर पेज पर भेजा जाना चाहिए।
- इसे केवल HTML
<meta>टैग में सेट करना। एक<meta name="referrer">टैग कुछ मामलों के लिए काम करता है लेकिन सभी के लिए नहीं। - एक लेयर को दूसरे को ओवरराइड करने देना। यदि आपका ऑरिजिन सर्वर और आपका CDN दोनों हेडर को विभिन्न मानों के साथ सेट करते हैं।
- URLs से डेटा बाहर रखने के प्रतिस्थापन के रूप में इसका इलाज करना।
संबंधित हेडर पर एक त्वरित नोट
Referrer-Policy अन्य वेब सुरक्षा हेडर के साथ बैठती है जिन्हें हम जाँचते हैं — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, और कुछ उन्नत क्रॉस-ऑरिजिन हेडर। वे अलग-अलग चीजों की सुरक्षा करते हैं, इसलिए एक होने से दूसरे को कवर नहीं किया जाता।
संक्षेप में
Referrer-Policy आपके स्कोरकार्ड पर सबसे सस्ता, सबसे सुरक्षित गोपनीयता सुधार है: एक पंक्ति, लगभग पाँच मिनट, कुछ तोड़ने का कोई जोखिम नहीं, और मुफ्त। इसे strict-origin-when-cross-origin पर सेट करें, पुष्टि करें कि यह हर पेज पर लाइव है, और मध्यम-गंभीरता अंतराल और इसके 15 अंक बंद हो जाते हैं।
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या मैं इसे वास्तव में संभाल सकता हूँ?
हाँ, और यह पूरे स्कोरकार्ड पर सबसे आसान सुधारों में से एक है। यह एक एकल पंक्ति है जो जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसके द्वारा जोड़ी जाती है। यह मुफ्त है, लगभग पाँच मिनट लेता है, और कुछ सुरक्षा सेटिंग के विपरीत यह आपकी साइट पर कुछ नहीं तोड़ेगा।
यहाँ 'referrer' का क्या मतलब है?
जब कोई आपके पेज से किसी अन्य वेबसाइट के लिंक पर क्लिक करता है, तो उनका ब्राउज़र एक नोट भेजता है जो बताता है कि वे किस पेज से आए थे — उस नोट को referrer कहते हैं। समस्या डिफ़ॉल्ट व्यवहार में है: डिफ़ॉल्ट रूप से, नोट में अक्सर आपके सटीक पेज का पूरा पता शामिल होता है।
क्या यह वास्तव में परेशान करने योग्य है यदि मेरी साइट भुगतान संभाल नहीं करती?
लगभग निश्चित रूप से हाँ। आपको चेकआउट की जरूरत नहीं है कि आपके वेब पतों में निजी जानकारी हो।
क्या इसे चालू करने से मेरी साइट या मेरे एनालिटिक्स टूट सकते हैं?
नहीं। यह उन सुरक्षित हेडर में से एक है — यह केवल नियंत्रित करता है कि अन्य साइटों के साथ कितना पता विवरण साझा किया जाता है, न कि लिंक काम करते हैं या नहीं।
क्या यह एक गोपनीयता-कानून मुद्दा है या सिर्फ अच्छा करना है?
यह एक वास्तविक अनुपालन मुद्दा हो सकता है। डेटा-सुरक्षा नियमों के लिए आपको केवल न्यूनतम व्यक्तिगत डेटा एकत्र और साझा करने की आवश्यकता है।
क्या यह हमारे ग्रेड को प्रभावित करता है, या यह केवल सलाह है?
यह आपके ग्रेड को प्रभावित करता है। Referrer-Policy जाँच ग्रेड की गई है और Web Security श्रेणी में 15 अंक तक योग्य है। एक गायब हेडर मध्यम गंभीरता के रूप में चिह्नित है।