Defaults.Exposed › Javítások › Referrer-Policy

Hogyan javítsd ki: Referrer-Policy

A Referrer-Policy egy egysoros utasítás, amelyet a webhelyed minden látogató böngészőjének átad, szabályozva, mennyi kerül a webcímedből tovább, amikor valaki egy másik oldalra kattint. Enélkül az általad meglátogatott oldal teljes cím – keresési kifejezések, számlaszámok, visszaállítási linkek, belső oldal-elérési utak és minden – csendesen átadódik a következő oldalnak, amelyre landolnak, beleértve a hirdetőket, az analitikai cégeket és bárhová máshová, ahova egy link mutat.

Az üzleted szempontjából lényeg: Minden alkalommal, amikor egy látogató rákattint egy kifelé mutató linkre, hirdetésre vagy megosztott erőforrásra, a böngészőjük átadhatja az oldalad teljes cím a célhelynek – és ha a te webcímeid keresési lekérdezéseket, ügyfél-azonosítókat, rendelési számokat vagy egyszeri linkeket tartalmaznak, olyan harmadik feleknek szivárogtatod ki az ügyféladatokat, akiket nem ellenőrzöl. Ez adatvédelmi probléma, amelyet a szabályozók komolyan vesznek, egy csendesen megsértett adatvédelmi ígéret, és egy besorolási hiányosság, amelyet az ügyfél biztonsági csapata a kellő gondosság során jelölni fog.

Mibe kerülhet ez neked

• Egy ügyfél kitölt egy űrlapot vagy keres, majd rákattint egy kifelé mutató linkre vagy hirdetésre – és az oldal cím, azzal együtt, amit beírt, egyenesen egy hirdetőnek vagy analitikai cégnek adódik át, amellyel soha nem szándékoztad megosztani.
• A jelszó-visszaállítási és fiók-megerősítési linkek néha titkos tokent tartalmaznak a webcímben; e fejléc nélkül az oldalon lévő bármelyik linkre kattintva az egész cím – tokennel együtt – átkerülhet egy külső oldalra.
• A privát belső oldal-elérési utak (admin területek, csak ügyfeleknek szóló oldalak, árképzési szintek, dokumentum linkek) feltárulnak minden egyes harmadik félnek, amelyre a látogatóid kattintanak, átadva a versenytársak és a kíváncsiskodók számára egy térképet az oldaladról, amelyet soha nem lett volna szabad látniuk.
• Az ügyfél biztonsági felülvizsgálata vagy egy adatvédelmi audit megvizsgálja az oldaladat, nem lát Referrer-Policy-t, és adatminimalizálási hibaként naplózza – az a fajta megállapítás, amely megállít egy szerződést vagy tanúsítást.
• A személyes adatok olyan adatkezelők kezébe kerülnek, akikkel nincs megállapodásod, és öt perces figyelmetlenséget bejelentendő adatvédelmi incidenssé változtat.

Miért fontos. A böngészők, ha magukra hagyják őket, nagyon bőbeszédűek: alapból megmondják a következő webhelynek, honnan jött a látogató, sokszor beleértve az oldal teljes cím. Egy szórólapoldalon ez ártalmatlan lehet, de amint a te webcímeid bármit személyeset tartalmaznak – egy keresési kifejezést, rendelési azonosítót, e-mailt egy linkben, privát elérési utat –, ez az alapbeállítás csendesen kiszivárogtatja azt külső felek számára. A Referrer-Policy az az egyetlen beállítás, amely megmondja a böngészőknek, hogy állítsák le a túlzott megosztást. Ez egy pontozásos ellenőrzés az eredménylapodon, amely valódi pontokat ér, közvetlenül leképeződik az adatminimalizálási kötelességekre az adatvédelmi törvény értelmében, és ez az egyik szabványos biztonsági fejléc, amelyet minden szakmai felülvizsgálat elvár találni.

Mi ez egyszerű szavakkal

Minden alkalommal, amikor a weboldaladon lévő látogató rákattint egy másik oldalra mutató linkre – kifelé mutató linkre, banner hirdetésre, ‘megosztás’, sőt egy máshonnan betöltött betűtípusra vagy képre is –, a böngészőjük csendesen csatol egy megjegyzést, amely megmondja, melyik oldaladon jöttek. Ezt a megjegyzést hívják referrernek.

Értelmesen használva a referrer ártalmatlan és még hasznos is: így tudják más oldalak, hogy a forgalom tőled jött, és ez sok becsületes analitikát működtet. A dolog az alapviselkedésben van. Kezelés nélkül a böngésző nem csak azt mondja, hogy ‘a your-business.com-ról jöttek’ – sokszor az exact oldal teljes cím kerül átadásra, beleértve mindent a domain neve után. A webcímek pedig sokkal többet hordoznak, mint az emberek gondolnák: az oldaladra beírt keresési kifejezések, rendelési és számlaszámok, az elérési út egy privát, csak tagoknak szóló oldalra, sőt egyszeri titkos tokenek a jelszó-visszaállítási és megerősítési linkekben.

A Referrer-Policy egy egyetlen utasítás, amelyet a webhelyed küld a böngészőnek, megmondva, mennyit szabad megosztani abból a megjegyzésből. Megmondhatja, hogy csak a domain nevedet ossza meg, csak a saját oldaladon belül, vagy egyáltalán semmit. Gondolj rá úgy, mint a különbség aközött, hogy egy idegennek adsz a teljes otthoni cím a napi menetrenddel, versus csak azt mondod nekik, melyik városban élsz.

Ez egy kis ‘biztonsági fejléc’ csoportba tartozik – rövid utasítások, amelyeket az oldalad minden látogató böngészőjének küld. Nem változtatja meg az oldal megjelenését vagy működését. Egyszerűen megakadályozza a böngészőt abban, hogy a nevedben túlzottan osszon meg.

Mibe kerülhet ez neked

Íme konkrét, mindennapi módok, ahogyan egy hiányzó vagy megengedő Referrer-Policy megcsíp valódi vállalkozásokat. Ezekhez nem kell hacker – automatikusan, naponta, normál használat során történnek.

• A kiszivárgott keresés. Egy ügyfél valami érzékenyre keres a weboldaladon – egy orvosi terméket, adóssághoz kapcsolódó szolgáltatást, versenytárs összehasonlítást –, és a keresési kifejezés landol az oldal cím. Majd rákattintanak egy kifelé mutató linkre vagy hirdetésre az eredmény-oldalon. A hirdető most megkapja a te cím a keresési kifejezéssel, megtudva pontosan, mit keresett az ügyfeled. Soha nem értettél egyet ezzel, és nem veheted vissza.

• A leleplezett visszaállítási link. Sok rendszer titkos egyszeri tokent helyez a jelszó-visszaállítás, e-mail-megerősítés vagy ‘varázsló bejelentkezési’ oldalak cím. Ha az az oldal tartalmaz bármilyen kifelé mutató linket vagy harmadik feles erőforrást, a teljes cím – tokennel együtt – átadódhat egy külső oldalnak. A legrosszabb esetben ez egy harmadik félnek adja egy fiók kulcsait.

• Az ingyenesen odaadott oldaltérkép. A belső oldal-elérési utaid sokszor feltárják a szerkezetedet: /admin, /enterprise-arak, /ugyfelek/cegnev, /letoltesek/privat-jelentes. E fejléc nélkül minden külső oldal, amelyre a látogatóid kattintanak, megkapja ezeket az elérési utakat. A versenytársak megtanulják az árképzési szintjeidet és terméksoraidat; a scrapperek megtanulják, melyik oldalakat kell célba venni.

• A nem kívánt adatmegosztási kapcsolat. Az adatvédelmi törvény elvárja, hogy tudd, kinek mennek az ügyfeleid személyes adatai, és megállapodás legyen érvényes. Az oldalcímek kiszivárogtatása, amelyek ügyfél-azonosítókat vagy e-mail cím tartalmaznak, hirdetőhálózatoknak és analitikai cégeknek – megállapodás és hozzájárulás nélkül – pontosan az a fajta ellenőrizetlen adatfolyam, amely rutin auditot megállapítássá, és megállapítást bejelentendő incidenssé változtat.

• Az üzlet, amely a kellő gondosságnál megáll. Amikor egy nagyobb ügyfél biztonsági csapata felülvizsgál téged, a hiányzó szabványos biztonsági fejlécek gyors, automatizált pipa. A Referrer-Policy hiányának látása azt mondja nekik, hogy az alapvető adatvédelmi higiénia soha nem volt beállítva – és ez a benyomás mindent más elszínez a felülvizsgálatban.

Mi is ez pontosan

Alapból a böngészők körülbelül ‘strict-origin-when-cross-origin’-nek megfelelő viselkedést követnek a modern verziókon – de erre nem számíthatsz, mert a régebbi böngészők, beágyazott webview-k és egyes konfigurációk még mindig visszaesnek a több szivárogtatásba. Az egyetlen módja a bizonyosságnak a politika explicit beállítása. Amikor azt teszed, egy rövid listából választasz egy szabályt. Amelyek fontosak:

• no-referrer – ne osszon meg semmit. A következő oldalt nem értesítik arról, honnan jött a látogató. Maximális adatvédelem; csillapíthatja az ajánló analitikát.
• same-origin – a teljes cím csak akkor osztódik, ha a látogató az ön saját oldalain belül mozog; külső oldalakkal semmi.
• strict-origin-when-cross-origin – az ajánlott alapértelmezett. A saját oldalon belül a teljes elérési út meg van osztva; külső oldalaknak csak a puszta domain neve (és semmi, ha biztonságos oldalról nem biztonságosra megy). A külső felek megtanulják, hogy a forgalom tőled jött, de soha nem a privát részletek a domain neve után.
• origin – mindig csak a domain neved, még a saját oldaladon belül is.

És két érték elkerülendő, mert az eredménylap ezeket nem jobbnak kezeli, mint ha nincs fejléc:

• unsafe-url – a teljes cím megosztása mindenkivel, mindig. Ez a legrosszabb eset egyetlen szóban.
• no-referrer-when-downgrade – a régi böngésző alapértelmezett; még mindig elküldi a teljes cím más biztonságos oldalaknak, kiszivárogtatva mindent, amit fent leírtunk.

Mit jelent a „jó” beállítás: egy Referrer-Policy fejléc jelen van és korlátozó értékre van állítva – a legtöbb vállalkozásnál strict-origin-when-cross-origin. Ez megtartja az ajánló analitikát működőképesen, miközben biztosítja, hogy semmi a domain neveden túl soha nem jut el külső oldalra.

Hogyan javítsd ki (ingyenes, kb. 5 perc)

Add ezt a részt az IT-személyednek, webfejlesztőnek vagy tárhely ügyfélszolgálatnak – a javítás ingyenes, egyetlen sor, és nem töri el az oldaladat. Nincs kockázatos bevezetés: ellentétben egyes biztonsági beállításokkal, egy érdemi Referrer-Policy nem akadályozhatja meg a linkek vagy az oldalak működését. Csak nyesi, ami más oldalakkal megosztódik.

A cél: Referrer-Policy válasz fejlécet állíts be strict-origin-when-cross-origin értékkel (vagy egy szigorúbb értékkel, ha inkább kevesebbet szeretnél megosztani).

Cloudflare (kód nélkül – legegyszerűbb, ha használod): Irányítópult → a domained → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Fejléc neve Referrer-Policy, érték strict-origin-when-cross-origin → alkalmaz minden bejövő kérésre → Deploy.

Google Workspace / Microsoft 365: ezek kezelik az e-mailedet, nem a weboldaladat, tehát a fejléc ott van beállítva, ahol az oldal ténylegesen hosztolt (a webhely hosztod, CDN vagy szerver) – nem a Workspace vagy 365 adminban.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (az oldal konfigurációban vagy .htaccess-ben):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / általános hosztok: a legtöbb managed WordPress és megosztott hoszt lehetővé teszi a válasz fejlécek hozzáadását egy biztonsági bővítményen, egy ‘fejlécek’ panelen a hoszt vezérlőpultjában, vagy a fent lévő .htaccess részleten keresztül. Ha a Cloudflare mögött vagy, a Cloudflare módszer a legtisztább és egyszerre mindenhol érvényes.

A befejezés után: töltsd be az oldaladat, és futtasd újra az ellenőrzést, vagy használj böngésző fejlesztői eszközöket (Hálózat fül → kattints a fő dokumentumra → Válasz fejlécek) annak megerősítéséhez, hogy a Referrer-Policy: strict-origin-when-cross-origin jelen van.

Általános hibák

• Megengedő érték beállítása, feltételezve, hogy számon van tartva. Az unsafe-url és a no-referrer-when-downgrade mind szivárogtatja a teljes cím. Az eredménylap nullát pontoz nekik – azonos azzal, mintha nincs fejléc. Ha a fejléc jelen van, de a pontok nincsenek, ennek szinte mindig ez az oka.
• Csak a kezdőoldalon beállítani. A fejlécet minden oldalon el kell küldeni, mert a szivárgások keresési-eredmény, fiók és visszaállítási oldalakon történnek – nem a kezdőoldalon. Szerver, CDN vagy Cloudflare szinten állítsd be, hogy automatikusan site-szintűen érvényes legyen.
• Csak HTML <meta> tagekben beállítani. A <meta name="referrer"> tag egyes esetekben működik, de nem mindegyikben, és könnyen következetlen lesz az oldalakon. A megfelelő válasz fejlécként beállítás (a fenti módszerek) a megbízható megközelítés.
• Hagyni, hogy az egyik réteg felülírja a másikat. Ha mind az eredeti szervered, mind a CDN-ed beállítja a fejlécet különböző értékekkel, az eredmény kiszámíthatatlan lehet. Válassz egy helyet a kezelésre – általában a CDN vagy a Cloudflare, ha van – és tartsd konzisztensen a többit.
• Ennek helyettesítőként kezelése a adatok URL-ekből kihagyásával. A fejléc korlátozza a kárt, de a tisztább hosszú távú szokás az, hogy eleve nem tesszük a titkokat és a személyes adatokat a webcímekbe. Használd a fejlécet most; vedd fel az URL higiéniát a fejlesztőddel utókövetési pontként.

Rövid megjegyzés a kapcsolódó fejlécekről

A Referrer-Policy egy kis egyéb webbiztonsági fejléc-készlet mellett foglal helyet, amelyeket ellenőrzünk – Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, és néhány speciális cross-origin fejléc. Különböző dolgokat védenek, tehát az egyik megléte nem fedi a többit. Ha a Referrer-Policy hiányzik, érdemes megkérni bárkit, aki javítja, hogy erősítse meg, hogy a többi szabványos fejléc is érvényes egyszerre, mivel általában ugyanazon a helyen vannak konfigurálva, és a látogatás semmibe sem kerül.

Röviden

A Referrer-Policy az eredménylapod legolcsóbb, legbiztonságosabb adatvédelmi javítása: egy sor, kb. öt perc, nincs kockázat semmit eltörni, és ingyenes. Megakadályozza, hogy a látogatóid böngészői csendesen átadják a privát oldal-cím – és bármilyen személyes adatot, amelyet tartalmaznak – minden egyes külső oldalnak, amelyre kattintanak. Állítsd be strict-origin-when-cross-origin-re, erősítsd meg, hogy minden oldalon él, és a közepes súlyosságú rés és annak 15 pontja bezárul.

GYIK