Defaults.Exposed

Defaults.Exposedसुधार › Referrer-Policy

Referrer-Policy को कैसे ठीक करें

एक Referrer-Policy एक एक-पंक्ति निर्देश है जो आपकी वेबसाइट हर विज़िटर के ब्राउज़र को देती है, यह नियंत्रित करती है कि जब वे किसी अन्य साइट पर एक लिंक क्लिक करते हैं तो आपके वेब पते का कितना हिस्सा उनके साथ जाता है। इसके बिना, जिस पेज पर वे थे उसका पूरा पता — खोज शब्द, खाता संख्या, रीसेट लिंक, आंतरिक पेज पथ और सब — अगली साइट को चुपचाप सौंप दिया जाता है, जिसमें विज्ञापनदाता, विश्लेषण फर्म, और जहाँ भी एक लिंक इंगित करता है शामिल है।

आपके व्यवसाय के लिए मुख्य बात: हर बार जब एक विज़िटर एक आउटबाउंड लिंक, विज्ञापन, या साझा संसाधन क्लिक करता है, तो उनका ब्राउज़र आपके पेज का पूरा पता गंतव्य को सौंप सकता है — और यदि आपके पतों में खोज प्रश्न, ग्राहक ID, ऑर्डर नंबर, या एक-समय के लिंक हैं, तो आप ऐसे तृतीय पक्षों को ग्राहक डेटा लीक कर रहे हैं जिन्हें आप नियंत्रित नहीं करते। यह एक डेटा-सुरक्षा समस्या है जिसे नियामक गंभीरता से लेते हैं।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। ब्राउज़र, खुद पर छोड़े जाने पर, बातूनी हैं: डिफ़ॉल्ट रूप से वे अगली वेबसाइट को बताते हैं कि एक विज़िटर कहाँ से आया, अक्सर पेज का पूरा पता सहित। एक Referrer-Policy एकल सेटिंग है जो ब्राउज़रों को अतिशयोक्ति करना बंद करने के लिए कहती है। यह आपके स्कोरकार्ड पर एक ग्रेड की गई जाँच है जो वास्तविक अंकों के योग्य है।

यह क्या है, सरल शब्दों में

हर बार जब आपकी वेबसाइट पर कोई विज़िटर किसी अन्य साइट के लिंक पर क्लिक करता है — एक आउटबाउंड लिंक, एक बैनर विज्ञापन, एक “इसे साझा करें”, यहाँ तक कि कहीं और से लोड किया गया फ़ॉन्ट या छवि — उनका ब्राउज़र चुपचाप एक नोट संलग्न करता है जो कहता है कि वे आपके किस पेज से आए थे। उस नोट को referrer कहते हैं।

एक Referrer-Policy एक एकल निर्देश है जो आपकी वेबसाइट ब्राउज़र को भेजती है जो यह कहता है कि उस नोट में से कितना साझा करने की अनुमति है।

इससे आपको क्या नुकसान हो सकता है

यह वास्तव में क्या है

जब आप नीति स्पष्ट रूप से सेट करते हैं, तो आप एक छोटी सूची से एक नियम चुन रहे हैं। जो मायने रखते हैं:

और दो मान जिनसे बचना है, क्योंकि स्कोरकार्ड उन्हें कोई हेडर न होने से बेहतर नहीं मानता:

इसे कैसे ठीक करें (मुफ्त, लगभग 5 मिनट)

इस अनुभाग को अपने IT व्यक्ति, वेब डेवलपर, या होस्टिंग सपोर्ट को सौंपें — ठीक करना मुफ्त है, यह एकल पंक्ति है, और यह आपकी साइट नहीं तोड़ेगा।

Cloudflare (कोई कोड नहीं — सबसे आसान यदि आप इसे उपयोग करते हैं): Dashboard → आपका डोमेन → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Header name Referrer-Policy, value strict-origin-when-cross-origin → सभी आने वाले अनुरोधों पर लागू करें → Deploy।

Google Workspace / Microsoft 365: ये आपके ईमेल प्रबंधित करते हैं, आपकी वेबसाइट नहीं।

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (साइट कॉन्फ़िग या .htaccess में):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

सामान्य गलतियाँ

संबंधित हेडर पर एक त्वरित नोट

Referrer-Policy अन्य वेब सुरक्षा हेडर के साथ बैठती है जिन्हें हम जाँचते हैं — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, और कुछ उन्नत क्रॉस-ऑरिजिन हेडर। वे अलग-अलग चीजों की सुरक्षा करते हैं, इसलिए एक होने से दूसरे को कवर नहीं किया जाता।

संक्षेप में

Referrer-Policy आपके स्कोरकार्ड पर सबसे सस्ता, सबसे सुरक्षित गोपनीयता सुधार है: एक पंक्ति, लगभग पाँच मिनट, कुछ तोड़ने का कोई जोखिम नहीं, और मुफ्त। इसे strict-origin-when-cross-origin पर सेट करें, पुष्टि करें कि यह हर पेज पर लाइव है, और मध्यम-गंभीरता अंतराल और इसके 15 अंक बंद हो जाते हैं।

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या मैं इसे वास्तव में संभाल सकता हूँ?

हाँ, और यह पूरे स्कोरकार्ड पर सबसे आसान सुधारों में से एक है। यह एक एकल पंक्ति है जो जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसके द्वारा जोड़ी जाती है। यह मुफ्त है, लगभग पाँच मिनट लेता है, और कुछ सुरक्षा सेटिंग के विपरीत यह आपकी साइट पर कुछ नहीं तोड़ेगा।

यहाँ 'referrer' का क्या मतलब है?

जब कोई आपके पेज से किसी अन्य वेबसाइट के लिंक पर क्लिक करता है, तो उनका ब्राउज़र एक नोट भेजता है जो बताता है कि वे किस पेज से आए थे — उस नोट को referrer कहते हैं। समस्या डिफ़ॉल्ट व्यवहार में है: डिफ़ॉल्ट रूप से, नोट में अक्सर आपके सटीक पेज का पूरा पता शामिल होता है।

क्या यह वास्तव में परेशान करने योग्य है यदि मेरी साइट भुगतान संभाल नहीं करती?

लगभग निश्चित रूप से हाँ। आपको चेकआउट की जरूरत नहीं है कि आपके वेब पतों में निजी जानकारी हो।

क्या इसे चालू करने से मेरी साइट या मेरे एनालिटिक्स टूट सकते हैं?

नहीं। यह उन सुरक्षित हेडर में से एक है — यह केवल नियंत्रित करता है कि अन्य साइटों के साथ कितना पता विवरण साझा किया जाता है, न कि लिंक काम करते हैं या नहीं।

क्या यह एक गोपनीयता-कानून मुद्दा है या सिर्फ अच्छा करना है?

यह एक वास्तविक अनुपालन मुद्दा हो सकता है। डेटा-सुरक्षा नियमों के लिए आपको केवल न्यूनतम व्यक्तिगत डेटा एकत्र और साझा करने की आवश्यकता है।

क्या यह हमारे ग्रेड को प्रभावित करता है, या यह केवल सलाह है?

यह आपके ग्रेड को प्रभावित करता है। Referrer-Policy जाँच ग्रेड की गई है और Web Security श्रेणी में 15 अंक तक योग्य है। एक गायब हेडर मध्यम गंभीरता के रूप में चिह्नित है।