Defaults.Exposed › Ispravci › Referrer-Policy

Kako popraviti Referrer-Policy

Referrer-Policy je jednolinirajska uputa koju vaša web stranica predaje pregleniku svakog posjetitelja, kontrolirajući koliko vaše web adrese putuje s njima kad kliknu link na drugu stranicu. Bez nje, puna adresa stranice na kojoj su bili — pojmovi pretraživanja, brojevi računa, veze za resetiranje, interni putovi stranica i sve ostalo — tiho se predaje sljedećoj stranici na kojoj sletnu, uključujući oglasom, analitičkim tvrtkama i svugdje drugdje na što link upućuje.

Zaključak za vaše poslovanje: Svaki put kad posjetitelja klikne odlazni link, oglas ili dijeljeni resurs, njihov preglednik može predati punu adresu vaše stranice odredištu — a ako vaše adrese nose pojmove pretraživanja, ID-ove klijenata, brojeve narudžbi ili jednokratne linkove, curite korisničke podatke trećim stranama koje ne kontrolirate. To je problem zaštite podataka koji regulatori ozbiljno uzimaju, tiho slomljeno obećanje o privatnosti i bodovana praznina koju će sigurnosni tim klijenta označiti tijekom due diligence.

Što vas ovo može koštati

Klijent ispuni obrazac ili izvrši pretraživanje, zatim klikne odlazni link ili oglas — i adresa stranice, zajedno s onim što su upisali, odmah se preda oglašivaču ili analitičkoj tvrtki s kojom to nikad niste namjeravali dijeliti.
Veze za resetiranje lozinki i potvrdu računa ponekad nose tajni token u web adresi; bez ovog zaglavlja, klik na bilo koji link na toj stranici može predati cijelu adresu — uključujući token — vanjskoj stranici.
Privatni unutarnji putovi stranica (admin područja, stranice samo za klijente, cjenovni nivoi, dokumentacijski linkovi) otkrivaju se svakoj trećoj strani kroz koju vaši posjetitelja kliknu, predajući konkurentima i njuškalima kartu vaše stranice koju nikad ne bi trebali vidjeti.
Sigurnosni pregled klijenta ili privatnosna revizija skenira vašu stranicu, vidi nema Referrer-Policy i to bilježi kao neuspjeh minimiziranja podataka — vrsta nalaza koji blokira ugovor ili certifikaciju.
Osobni podaci završe u rukama procesora s kojima nemate sporazum, pretvarajući petominutni propust u prijavljivo kršenje zaštite podataka.

Zašto je to važno. Preglednici, prepušteni sebi, su pričljivi: po zadanom govore sljedećoj web stranici odakle je posjetitelja došao, često uključujući punu adresu stranice. Za brošursku stranicu to je možda bezopasno, ali čim vaše adrese sadrže nešto osobno — pojam pretraživanja, ID narudžbe, e-poštu u linku, privatni put — to zadano tiho curi trećim stranama. Referrer-Policy je jedina postavka koja govori preglednicima da prestanu dijeliti previše. To je bodovana provjera na vašoj ljestvici vrijedna pravih bodova, izravno mapira na dužnosti minimiziranja podataka prema zakonu o privatnosti i jedno od standardnih sigurnosnih zaglavlja koje svaki profesionalni pregled očekuje pronaći.

Što je ovo, jednostavnim riječima

Svaki put kad posjetitelja na vašoj web stranici klikne link na drugu stranicu — odlazni link, bannerogli oglas, “podijeli ovo”, pa čak i font ili slika učitana s drugog mjesta — njihov preglednik tiho priloži bilješku govoreći s koje vaše stranice su došli. Ta bilješka se zove referrer.

Korisno upotrijebljeno, referrer je bezopasan i čak koristan: to je kako druge stranice znaju da je promet došao od vas, i pokreće puno poštene analitike. Problem je u zadanom ponašanju. Prepušten nekontroliranom, preglednik ne kaže samo “došli su od yourpoduzece.com” — često predaje punu adresu točne stranice, uključujući sve iza naziva domene. A web adrese nose mnogo više nego što ljudi shvaćaju: pojmove pretraživanja upisane u vašu stranicu, ID-ove narudžbi i računa, put do privatne stranice samo za članove, pa čak i jednokratne tajne tokene u e-porukama za resetiranje lozinke i potvrdu.

Referrer-Policy je jedna jedina uputa koju vaša web stranica šalje pregleniku govoreći koliko te bilješke smije dijeliti. Možete mu reći da dijeli samo ime vaše domene, samo drugim stranicama na vašoj vlastitoj stranici, ili ništa. Zamislite to kao razliku između predavanja strancu vaše pune kućne adrese s vašim dnevnim rasporedom priloženim, nasuprot govoreći mu samo u kojemu gradu živite.

Ovo je jedna od male obitelji “sigurnosnih zaglavlja” — kratkih uputa koje vaša stranica daje pregleniku svakog posjetitelja. Ne mijenja kako vaša stranica izgleda ili funkcionira. Jednostavno sprječava preglednik da dijeli previše u vaše ime.

Što vas ovo može koštati

Evo konkretnih, svakodnevnih načina na koje nedostajuća ili dopuštajuća Referrer-Policy nanosi štetu stvarnim poduzećima. Ništa od ovoga ne zahtijeva hakera — događa se automatski, svaki dan, u normalnoj upotrebi.

Procurili pojam pretraživanja. Klijent pretraži vašu stranicu za nešto osjetljivo — medicinski proizvod, uslugu vezanu za dugove, usporedbu konkurenta — i pojam pretraživanja završi u adresi stranice. Zatim kliknu odlazni link ili oglas na toj stranici rezultata. Oglašivač sada dobiva vašu adresu s pojmom pretraživanja u njoj, učeći točno što je vaš klijent tražio. Nikad niste pristali to dijeliti, i ne možete to poništiti.
Izloženi link za resetiranje. Mnogi sustavi stave tajni jednokratni token u adresu stranica za resetiranje lozinke, potvrdu e-pošte ili “magic login”. Ako ta stranica sadrži odlazni link ili resurs treće strane, puna adresa — uključujući token — može biti predana vanjskoj stranici. U najgorem slučaju to trećoj strani predaje ključeve za račun.
Karta stranice koju ste besplatno dali. Vaši unutarnji putovi stranice često otkrivaju strukturu: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Bez ovog zaglavlja, svaka vanjska stranica kroz koju vaši posjetitelja kliknu prima te putove. Konkurenti uče o vašim cjenovnim nivoima i linijama proizvoda; scraperi uče koje stranice ciljati.
Neželjeni odnos dijeljenja podataka. Zakon o privatnosti od vas očekuje da znate kome idu osobni podaci vaših klijenata i da imate sporazum na snazi. Curenje adresa stranica koje sadrže ID-ove klijenata ili e-poštanske adrese reklamnim mrežama i analitičkim tvrtkama — bez sporazuma i bez pristanka — je točno vrsta nekontroliranog toka podataka koja rutinsku reviziju pretvara u nalaz, a nalaz u prijavljivo kršenje.
Posao koji stane na due diligence. Kad sigurnosni tim većeg klijenta vas pregledava, nedostajuća standardna sigurnosna zaglavlja su brzi, automatizirani kvadratić. Viđenje odsutnosti Referrer-Policy im govori da osnovna privatnosna higijena nikad nije bila postavljena — a taj dojam oboji sve ostalo u pregledu.

Što je to zapravo

Po zadanom, preglednici slijede ponašanje otprilike ekvivalentno “strict-origin-when-cross-origin” na modernim verzijama — ali na to se ne možete osloniti, jer stariji preglednici, ugrađeni webviewovi i određene konfiguracije još uvijek vriju se natrag na curenje više. Jedini način da budete sigurni je eksplicitno postavljanje politike. Kad to napravite, birate jedno pravilo s kratkog popisa. Ona koja su važna:

no-referrer — ne dijeli ništa. Sljedeća stranica ne dobiva ništa o tome odakle je posjetitelja došao. Maksimalna privatnost; može prigušiti vašu referral analitiku.
same-origin — dijeli punu adresu samo kad posjetitelja prelazi između stranica na vašoj vlastitoj stranici; ne dijeli ništa s vanjskim stranicama.
strict-origin-when-cross-origin — preporučeni zadano. Unutar vaše vlastite stranice, puni put se dijeli; vanjskim stranicama, dijeli se samo vaše čisto ime domene (i ništa uopće pri odlasku sa sigurne stranice na nesigurnu). Vanjske strane saznaju da promet dolazi od vas, ali nikad privatne detalje iza vaše domene.
origin — uvijek dijeli samo vaše ime domene, čak i unutar vaše vlastite stranice.

I dvije vrijednosti koje treba izbjegavati, jer ih ljestvica tretira ništa bolje od nepostojanja zaglavlja:

unsafe-url — dijeli punu adresu sa svima, uvijek. To je najgori slučaj u jednoj riječi.
no-referrer-when-downgrade — staro zadano preglednika; još uvijek šalje punu adresu ostalim sigurnim stranicama, curenje svega opisanog gore.

Kako izgleda ‘dobro’: zaglavlje Referrer-Policy je prisutno i postavljeno na restriktivnu vrijednost — za većinu poduzeća, strict-origin-when-cross-origin. Ovo održava referral analitiku na radu, osiguravajući da ništa osim vašeg naziva domene nikad ne stigne do vanjske stranice.

Kako to popraviti (besplatno, oko 5 minuta)

Proslijedite ovaj odjeljak vašoj IT osobi, web programeru ili podršci hostinga — popravak je besplatan, jedno je linije i neće pokvariti vašu stranicu. Nema rizičnog uvođenja ovdje: za razliku od nekih sigurnosnih postavki, razumna Referrer-Policy ne može spriječiti vaše linkove ili stranice od funkcioniranja. Samo smanjuje ono što se dijeli s drugim stranicama.

Cilj: postavite Referrer-Policy zaglavlje odgovora s vrijednošću strict-origin-when-cross-origin (ili strožom vrijednošću ako preferirate dijeliti još manje).

Cloudflare (bez koda — najlakše ako ga koristite): Nadzorna ploča → vaša domena → Rules → Transform Rules → Modify Response Header → Stvori pravilo → Postavi statično → Naziv zaglavlja Referrer-Policy, vrijednost strict-origin-when-cross-origin → primijeni na sve dolazne zahtjeve → Primijeniti.

Google Workspace / Microsoft 365: ovi upravljaju vašom e-poštom, ne vašom web stranicom, pa je zaglavlje postavljeno gdje god je vaša stranica zapravo hostana (vaš web host, CDN ili server) — ne u Workspace ili 365 adminu. Identificirajte hosta i koristite odgovarajuću opciju u nastavku.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (u konfiguraciji stranice ili .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / uobičajeni hostovi: većina upravljanih WordPress i dijeljenih hostova dopušta dodavanje zaglavlja odgovora ili putem sigurnosnog dodatka, “headers” ploče u upravljačkoj ploči hostinga, ili .htaccess isječka gore. Ako ste iza Cloudflarea, Cloudflare metoda je najčišća i primjenjuje se svugdje odjednom.

Nakon primjene: učitajte svoju stranicu i ponovo pokrenite provjeru, ili koristite preglednikove alate za razvijatelje (kartica Network → kliknite glavni dokument → Response Headers) da potvrdite da je Referrer-Policy: strict-origin-when-cross-origin prisutan.

Česte greške

Postavljanje dopuštajuće vrijednosti i pretpostavljanje da se računa. unsafe-url i no-referrer-when-downgrade oba još uvijek cure punu adresu. Ljestvica ih boduje nulom — identično nepostojanju zaglavlja. Ako je zaglavlje prisutno, ali bodovi nisu, to je gotovo uvijek razlog.
Postavljanje samo na početnoj stranici. Zaglavlje treba biti na svakoj stranici, jer curenja se događaju na stranicama rezultata pretraživanja, računa i resetiranja — ne na početnoj. Postavite na razini servera, CDN-a ili Cloudflarea da se automatski primjenjuje na cijelu stranicu.
Postavljanje samo u HTML <meta> tagovima. <meta name="referrer"> tag funkcionira u nekim slučajevima, ali ne u svima i lako je nedosljedan na stranicama. Postavljanje kao pravilno zaglavlje odgovora (metode gore) je pouzdan pristup.
Dopuštanje jednog sloja da nadjača drugi. Ako i vaš server podrijetla i vaš CDN postave zaglavlje s različitim vrijednostima, rezultat može biti nepredvidiv. Odaberite jedno mjesto za upravljanje — obično CDN ili Cloudflare ako ga imate — i neka ostalo bude dosledno.
Tretiranje kao zamjenu za čuvanje podataka izvan URL-ova. Zaglavlje ograničava štetu, ali čišća dugoročna navika je ne stavljati tajne i osobne podatke u web adrese uopće. Koristite zaglavlje sada; URL higijenu pokrenite s vašim programerom kao nastavak.

Kratka napomena o povezanim zaglavljima

Referrer-Policy sjedi uz mali skup ostalih web sigurnosnih zaglavlja koje provjeravamo — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options i nekoliko naprednih cross-origin zaglavlja. Štite različite stvari, pa jedno ne pokriva ostale. Ako nedostaje Referrer-Policy, vrijedi pitati onoga tko ga popravlja da u isto vrijeme potvrdi da su ostala standardna zaglavlja na mjestu, budući se obično konfiguriraju na istom jednom mjestu i posjeta ne košta ništa ekstra.

Ukratko

Referrer-Policy je najjeftiniji, najsigurniji popravak privatnosti na vašoj ljestvici: jedna linija, oko pet minuta, nema rizika pokvariti bilo što i besplatno. Sprječava preglednikevašihr posjetitelja od tihe predaje privatnih adresa vaših stranica — i bez obzira na osobne podatke koje sadrže — svakoj vanjskoj stranici kroz koju kliknu. Postavite na strict-origin-when-cross-origin, potvrdite da je živo na svakoj stranici i propust srednje ozbiljnosti i njegovih 15 bodova su zatvoreni.

Česta pitanja

Nisam tehničar — je li ovo nešto s čime zaista mogu izaći na kraj?

Da, i to je jedan od najlakših popravaka na cijeloj ljestvici. Jedne je linije dodane od strane onoga tko vodi vašu web stranicu ili hosting, a na uslugama poput Cloudflarea to je par klikova bez koda uopće. Proslijedite im odjeljak 'Kako to popraviti' u nastavku. Besplatno je, traje oko pet minuta i za razliku od nekih sigurnosnih postavki neće pokvariti ništa na vašoj stranici.

Što 'referrer' uopće ovdje znači?

Kad netko klikne link s vaše stranice na drugu web stranicu, njihov preglednik šalje bilješku govoreći s koje stranice su došli — ta bilješka se zove referrer. Genuinno je korisna za poštenu analitiku. Problem je u zadanom ponašanju. Po zadanom, bilješka često uključuje punu adresu vaše točne stranice, ne samo ime vaše domene. Ako ta adresa sadrži nešto privatno, to se dijeli i. Referrer-Policy vam dopušta skratiti bilješku samo na vaše ime domene, ili je isključiti, pa ništa osjetljivo ne curi.

Vrijedi li se potruditi ako moja stranica ne obrađuje plaćanja?

Gotovo sigurno da. Ne trebate naplatu da biste imali privatne informacije u web adresama — okviri za pretraživanje, obrasci za kontakt, stranice računa, linkovi na dokumente i e-poruke za resetiranje lozinke rutinski stavljaju podatke u adresnu traku. A čak i bez ikakvih osobnih podataka, curenje unutarnjih putova vaše stranice svakoj vanjskoj stranici kroz koju vaši posjetitelja kliknu predaje konkurentima i scrapersima besplatnu kartu vaše stranice. Popravak ne košta ništa i traje pet minuta, pa nema puno razloga preskočiti ga.

Može li uključivanje ovoga pokvariti moju stranicu ili analitiku?

Ne. Ovo je jedno od sigurnih zaglavlja — kontrolira samo koliko detalja adrese se dijeli s drugim stranicama, ne radi li linkovi. Preporučena postavka još uvijek šalje vaše ime domene vanjskim stranicama, pa legitimna referral analitika nastavlja raditi; samo sprječava da puna privatna adresa ode s njom. Nema potrebe za probnim modom samo za praćenje niti testiranjem na stagingu prvom.

Je li ovo problem zakona o privatnosti ili samo dobra praksa?

Može biti pravi problem usklađenosti. Propisi o zaštiti podataka zahtijevaju od vas prikupljanje i dijeljenje samo minimalnih osobnih podataka potrebnih i znanje kome vaši podaci idu. Ako vaše adrese nose osobne identifikatore i curite ih oglašivačima ili analitičkim tvrtkama bez sporazuma na snazi, to je neuspjeh minimiziranja podataka koji revizori i regulatori prepoznaju. Za većinu poduzeća ovo zaglavlje je jeftan, konkretan način zatvaranja te praznine.

Utječe li ovo na našu ocjenu, ili je samo savjet?

Utječe na vašu ocjenu. Provjera Referrer-Policy je bodovana i vrijedi do 15 bodova u kategoriji Web Security. Nedostajuće zaglavlje je označeno srednje ozbiljnosti. Napominjem jednu zamku: postavljanje zaglavlja na dopuštajuće vrijednosti poput 'unsafe-url' ili 'no-referrer-when-downgrade' ne donosi bodova — isto kao ni nepostojanje zaglavlja — jer te vrijednosti još uvijek cure punu adresu. Da biste zaradili bodove, trebate prikladno restriktivnu vrijednost poput 'strict-origin-when-cross-origin'.