Defaults.Exposed › Taisymai › Referrer-Policy (nukreipimo politika)

Kaip ištaisyti Referrer-Policy (nukreipimo politika)

Referrer-Policy yra vienos eilutės nurodymas, kurį jūsų svetainė perduoda kiekvieno lankytojo naršyklei, valdydama, kiek jūsų žiniatinklio adreso keliauja su jais, kai jie spusteli nuorodą į kitą svetainę. Be jo, visas puslapio, kuriame jie buvo, adresas – paieškos terminai, paskyros numeriai, atstatymo nuorodos, vidiniai puslapio keliai ir viskas kita – tyliai perduodamas kitai svetainei, kurią jie patenka, įskaitant reklamuotojus, analitikos įmones ir visur, kur nukreipia nuoroda.

Praktinė reikšmė jūsų verslui: Kiekvieną kartą, kai lankytojas spusteli išorinio ryšio nuorodą, skelbimą ar bendrą išteklių, jų naršyklė gali perduoti visą jūsų puslapio adresą paskirties vietai – o jei jūsų adresuose yra paieškos užklausos, klientų ID, užsakymų numeriai ar vienkartinės nuorodos, jūs nutekinate klientų duomenis trečiosioms šalims, kurių nekontroliuojate. Tai yra duomenų apsaugos problema, kurią reguliavimo institucijos rimtai vertina, tyliai sulaužyta privatumo pažadas ir vertinamas atotrūkis, kurį kliento saugumo komanda pažymės detalaus patikrinimo metu.

Ką tai gali kainuoti

Klientas užpildo formą ar atlieka paiešką, tada spusteli išorinę nuorodą ar skelbimą – ir puslapio adresas, kartu su tuo, ką jie įvedė, perduodamas tiesiai reklamuotojui ar analitikos įmonei, su kuria niekada nesiketinote dalytis.
Slaptažodžių atstatymo ir paskyros patvirtinimo nuorodos kartais neša slaptą prieigos raktą žiniatinklio adrese; be šios antraštės, spausdamas bet kurią nuorodą tame puslapyje gali perduoti visą adresą – su prieigos raktu – į išorinę svetainę.
Privatūs vidiniai puslapio keliai (administravimo sritys, tik klientams skirti puslapiai, kainodaros pakopas, dokumentų nuorodos) atskleidžiami kiekvienai trečiajai šaliai, per kurią klientai spusteli, suteikiant konkurentams ir šnipams jūsų svetainės žemėlapį, kurį jie niekada neturėtų matyti.
Kliento saugumo peržiūra ar privatumo auditas nuskaito jūsų svetainę, nemato Referrer-Policy, ir ją žurnalizuoja kaip duomenų minimizavimo nesėkmę – tokio tipo radinys, kuris stabdo sutartį ar sertifikavimą.
Asmens duomenys patenka į procesorių, su kuriais neturite susitarimo, ranka, paversdama penkių minučių priežiūrą į praneštiną duomenų apsaugos pažeidimą.

Kodėl tai svarbu. Naršyklės, paliktos savarankiškai, yra kalbios: pagal numatytąjį jos sako kitai svetainei, iš kur atėjo lankytojas, dažnai įskaitant visą puslapio adresą. Brošiūrų svetainei tai gali būti nekenksminga, bet vos tik jūsų adresuose yra kažkas asmeninio – paieškos terminas, užsakymo ID, el. paštas nuorodoje, privatus kelias – tas numatytas tyliai nuteka tai išorinėms šalims. Referrer-Policy yra vienas nustatymas, kuris liepia naršyklėms nustoti per daug dalytis. Tai yra vertinamas tikrinimas jūsų rezultatų kortelėje, vertas tikrų taškų, jis tiesiogiai susiejamas su duomenų minimizavimo pareigomis pagal privatumo įstatymus, ir tai yra vienas iš standartinių saugumo antraščių, kurią bet kokia profesionali peržiūra tikisi rasti.

Kas tai yra, paprastais žodžiais

Kiekvieną kartą, kai lankytojas jūsų svetainėje spusteli nuorodą į kitą svetainę – išorinę nuorodą, reklaminę reklamjuostę, „pasidalinti”, net šriftas ar paveikslėlis, įkeltas iš kitos vietos – jų naršyklė tyliai prideda pastabą, sakydama, iš kurio puslapio jie atėjo. Ta pastaba vadinama nukreipimas.

Naudojama protingai, nukreipimas yra nekenksmingas ir net naudingas: tai yra kaip kitos svetainės žino, kad srautas atėjo iš jūsų, ir tai veikia daug sąžiningos analitikos. Spąstas yra nuraminame elgesyje. Nevaldomas, naršyklė ne tik sako “jie atėjo iš jusu-verslas.com” – ji dažnai perduoda tikslaus puslapio visą adresą, įskaitant viską po domeno vardo. O žiniatinklio adresuose yra daug daugiau, nei žmonės suvokia: paieškos terminai, įvesti jūsų svetainėje, užsakymo ir paskyros numeriai, kelias į privatų tik narių puslapį, net vienkartiniai slaptieji prieigos raktai slaptažodžių atstatymo ir patvirtinimo nuorodose.

Referrer-Policy yra vienas nurodymas, kurį jūsų svetainė siunčia naršyklei, sakydama, kiek tos pastabos ji leidžiama dalytis. Galite jai pasakyti dalytis tik jūsų domeno vardu, tik su kitais puslapiais jūsų pačios svetainėje, arba visai nieko. Galvokite apie tai kaip skirtumą tarp nepažįstamam žmogui savo pilno namų adreso su jūsų kasdienio grafiko perdavimo ir tik pasakyti jiems, kuriame mieste gyvenate.

Tai yra vienas iš nedidelio “saugumo antraščių” – trumpų nurodymų, kuriuos jūsų svetainė duoda kiekvieno lankytojo naršyklei. Tai nepakeičia to, kaip jūsų svetainė atrodo ar veikia. Tai tiesiog sustabdo naršyklę nuo per daug dalijimosi jūsų vardu.

Kiek tai gali jus kainuoti

Čia yra konkretūs, kasdieniai būdai, kaip trūkstama ar laidus Referrer-Policy kandžioja realų verslą. Nė vienas iš jų nereikalauja įsilaužėlio – jie vyksta automatiškai, kiekvieną dieną, įprastoje naudoje.

Nutekinta paieška. Klientas jūsų svetainėje ieško kažko jautraus – medicininio produkto, su skola susijusios paslaugos, konkurento palyginimo – ir paieškos terminas patenka į puslapio adresą. Tada jie spusteli išorinę nuorodą ar skelbimą tame rezultatų puslapyje. Reklamuotojas dabar gauna jūsų adresą su paieškos terminu, sužinodamas tiksliai, ko ieškojo jūsų klientas. Jūs niekada nesutikote dalytis tuo, ir negalite jo atgauti.
Atskleista atstatymo nuoroda. Daugelis sistemų įdeda slaptą vienkartinį prieigos raktą slaptažodžių atstatymo, el. pašto patvirtinimo ar „magiškojo prisijungimo” puslapių adrese. Jei tas puslapis turi išorines nuorodas ar trečiosios šalies išteklius, visas adresas – su prieigos raktu – gali būti perduodamas į išorinę svetainę. Blogiausiu atveju tai trečiajai šaliai perduoda paskyrų raktus.
Svetainės žemėlapis, kurį atidavėte nemokamai. Jūsų vidiniai puslapio keliai dažnai atskleidžia jūsų struktūrą: /admin, /enterprise-kainodara, /klientai/jusdomenai, /atsisiuntimai/privati-ataskaita. Be šios antraštės, kiekviena išorinė svetainė, per kurią spusteli jūsų lankytojai, gauna tuos kelius. Konkurentai sužino jūsų kainodaros pakopas ir produktų eilutes; nuskaitymo įrankiai sužino, kuriuos puslapius taikyti.
Nepageidaujamas duomenų dalijimosi ryšys. Privatumo įstatymai tikisi, kad žinosite, kam eina jūsų klientų asmens duomenys, ir turėsite susitarimą savo vietoje. Puslapių adresų, kuriuose yra klientų ID ar el. pašto adresai, nutekėjimas į reklamos tinklus ir analitikos įmones – be jokio susitarimo ir be sutikimo – yra tiksliai tokia nekontroliuojama duomenų srauto rūšis, kuri rutiną auditą paverčia radiniu, o radinį – praneštinu pažeidimu.
Sandoris, kuris stringa išsamaus tyrimo metu. Kai didesnio kliento saugumo komanda jus peržiūri, trūkstamos standartinės saugumo antraštės yra greitas, automatizuotas varnelė. Nerančiant Referrer-Policy jiems sako, kad pagrindinė privatumo higiena niekada nebuvo nustatyta – ir tas įspūdis dažo viską kita peržiūroje.

Kas tai iš tikrųjų yra

Pagal numatytąjį, naršyklės seka elgesį, maždaug atitinkantį „strict-origin-when-cross-origin” šiuolaikinėse versijose – bet negalite tuo pasikliauti, nes senesnės naršyklės, įterptosios žiniatinklio peržiūros ir tam tikros konfigūracijos vis tiek grįžtą prie daugiau nutekėjimo. Vienintelis būdas įsitikinti – aiškiai nustatyti politiką. Kai tai darote, pasirenkate vieną taisyklę iš trumpo sąrašo. Svarbiosios:

no-referrer – nieko nedalinkite. Kitai svetainei pranešama nieko apie tai, iš kur atėjo lankytojas. Maksimalus privatumas; gali slopinti jūsų nukreipimo analitiką.
same-origin – visą adresą dalinkite tik tada, kai lankytojas juda tarp jūsų pačių svetainės puslapių; nieko nedalinkite su išorinėmis svetainėmis.
strict-origin-when-cross-origin – rekomenduojamas numatytas nustatymas. Jūsų pačios svetainėje dalijamasi visas kelias; išorinėms svetainėms dalijamasi tik jūsų nuplikas domeno vardas (ir visai nieko pereinant iš saugaus puslapio į nesaugų). Išorinės šalys sužino, kad srautas atėjo iš jūsų, bet niekada privatias detales po jūsų domenu.
origin – visada dalinkite tik jūsų domeno vardą, net jūsų pačios svetainės viduje.

Ir dvi reikšmės, kurių reikia vengti, nes rezultatų kortelė jas vertina ne geriau nei antraštės visai neturėjimas:

unsafe-url – visada visą adresą su visais, visada. Tai yra blogiausias atvejis viename žodyje.
no-referrer-when-downgrade – senasis naršyklės numatytas nustatymas; jis vis tiek siunčia visą adresą į kitas saugias svetaines, nutekindamas viską, kas aprašyta aukščiau.

Kaip atrodo „gerai”: Referrer-Policy antraštė yra ir nustatyta ribojančia reikšme – daugumai verslų strict-origin-when-cross-origin. Tai palaiko veikiančią nukreipimo analitiką, kartu užtikrinant, kad niekas po jūsų domeno vardo niekada nepasiekia išorinės svetainės.

Kaip tai ištaisyti (nemokama, apie 5 minutes)

Perduokite šį skyrių savo IT asmeniui, žiniatinklio kūrėjui ar prieglobos palaikymui – pataisymas yra nemokamas, tai yra viena eilutė, ir tai nesulaužys jūsų svetainės. Čia nėra rizikingo diegimo: skirtingai nuo kai kurių saugumo nustatymų, protingas Referrer-Policy negali sustabdyti jūsų nuorodų ar puslapių nuo veikimo. Jis tik sutrumpina tai, kas dalijamasi su kitomis svetainėmis.

Tikslas: nustatyti Referrer-Policy atsakymo antraštę su reikšme strict-origin-when-cross-origin (ar griežtesne reikšme, jei norite dalytis dar mažiau).

Cloudflare (be kodo – lengviausia, jei naudojate): Prietaisų skydelis → jūsų domenas → Taisyklės → Transformavimo taisyklės → Modifikuoti atsakymo antraštę → Kurti taisyklę → Nustatyti statinę → Antraštės pavadinimas Referrer-Policy, reikšmė strict-origin-when-cross-origin → taikykite visiems gaunamiems prašymams → Diegti.

Google Workspace / Microsoft 365: jie valdo jūsų el. paštą, ne jūsų svetainę, todėl antraštė nustatyta ten, kur jūsų svetainė iš tikrųjų prieglobsta (jūsų žiniatinklio priegloba, CDN ar serveris) – ne Workspace ar 365 administratoriuje. Nustatykite prieglobą ir naudokite atitinkamą parinktį žemiau.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (svetainės konfigūracijoje ar .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / bendri prieglobos tiekėjai: dauguma valdomų WordPress ir bendrų prieglobos tiekėjų leidžia pridėti atsakymo antraštes per saugumo priedą, prieglobos valdymo skydelio “antraščių” skydą ar .htaccess fragmentą aukščiau. Jei esate už Cloudflare, Cloudflare metodas yra švaresnis ir vienu metu taikomas visur.

Po taikymo: įkelkite savo svetainę ir paleiskite tikrinimą iš naujo, arba naudokite naršyklės kūrėjo įrankius (Tinklo skirtukas → spustelėkite pagrindinį dokumentą → Atsakymo antraštės), kad patvirtintumėte, jog Referrer-Policy: strict-origin-when-cross-origin yra.

Dažnos klaidos

Laidžios reikšmės nustatymas ir manant, kad ji skaičiuojama. unsafe-url ir no-referrer-when-downgrade abu vis tiek nuteka visą adresą. Rezultatų kortelė juos vertina nuliu – identiškai kaip antraštės neturėjimas. Jei antraštė yra, bet taškai – ne, tai yra beveik visada kodėl.
Nustatyta tik pagrindiniame puslapyje. Antraštė turi būti siunčiama kiekviename puslapyje, nes nutekėjimai vyksta paieškos rezultatų, paskyros ir atstatymo puslapiuose – ne pagrindiniame puslapyje. Nustatykite ją serverio, CDN ar Cloudflare lygiu, kad ji automatiškai taikoma visoje svetainėje.
Nustatyta tik HTML <meta> žymose. <meta name="referrer"> žyma veikia kai kuriems atvejams, bet ne visiems, ir lengva ją nesuderinti skirtinguose puslapiuose. Nustatant ją kaip tinkamą atsakymo antraštę (aukščiau esantys metodai) yra patikimas metodas.
Leidžiant vienam sluoksniui nepaisyti kito. Jei tiek jūsų kilmės serveris, tiek jūsų CDN nustato antraštę su skirtingomis reikšmėmis, rezultatas gali būti nenuspėjamas. Pasirinkite vieną vietą jai valdyti – paprastai CDN ar Cloudflare, jei turite – ir laikykite likusį nuoseklų.
Traktavimas kaip duomenų išlaikymo iš URL pakaitalas. Antraštė riboja žalą, bet švaresnis ilgalaikis įprotis yra iš pradžių nedėti paslapčių ir asmens duomenų žiniatinklio adresuose. Naudokite antraštę dabar; URL higieną su savo kūrėju aptarkite kaip tolesnį veiksmą.

Trumpa pastaba apie susijusias antraštes

Referrer-Policy guli šalia nedidelio kitų žiniatinklio saugumo antraščių rinkinio, kurias tikriname – Content-Security-Policy, X-Frame-Options, X-Content-Type-Options ir kelių pažangių tarpusavio kilmės antraščių. Jos apsaugo skirtingus dalykus, todėl vienas iš jų neapima kitų. Jei trūksta jūsų Referrer-Policy, verta paklausti to, kas ją ištaiso, patvirtinti, ar kitos standartinės antraštės yra savo vietoje tuo pačiu metu, nes paprastai jos sukonfigūruojamos toje pačioje vienoje vietoje ir apsilankymas nieko papildomo nekainuoja.

Trumpai

Referrer-Policy yra pigiausias, saugiausias privatumo pataisymas jūsų rezultatų kortelėje: viena eilutė, apie penkias minutes, nė mažiausios rizikos sulaužyti ką nors, ir nemokama. Tai sustabdo jūsų lankytojų naršykles nuo tylaus perdavimo jūsų privačių puslapio adresų – ir bet kokių asmens duomenų, kuriuos jie turi – kiekvienai išorinei svetainei, per kurią jie spusteli. Nustatykite jį į strict-origin-when-cross-origin, patvirtinkite, kad jis gyvas kiekviename puslapyje, ir vidutinio rimtumo atotrūkis ir jo 15 taškų yra uždaryti.

DUK

Aš nesu technikas – ar galiu tai tikrai sutvarkyti?

Taip, ir tai yra vienas lengviausių pataisymų visoje rezultatų kortelėje. Tai yra viena eilutė, pridedama to, kas valdo jūsų svetainę ar prieglobą, ir tokiose paslaugose kaip Cloudflare tai yra keli paspaudimai be kodo. Perduokite jiems toliau pateiktą 'Kaip tai ištaisyti' skyrių. Jis nemokamas, užtrunka apie penkias minutes, ir skirtingai nuo kai kurių saugumo nustatymų – nesulaužys nieko jūsų svetainėje.

Ką čia net reiškia 'nukreipimas'?

Kai kas nors spusteli nuorodą iš jūsų puslapio į kitą svetainę, jų naršyklė siunčia pastabą, sakydama, iš kurio puslapio jie atėjo – ta pastaba vadinama nukreipimas. Jis iš tikrųjų naudingas sąžiningai analitikai. Problema yra nuraminame elgesyje. Valdomas, naršyklė ne tik sako 'jie atėjo iš jusu-verslas.com' – ji dažnai perduoda **visą tikslaus puslapio adresą**, įskaitant viską po domeno vardo. Ir žiniatinklio adresuose yra daug daugiau, nei žmonės supranta: paieškos terminai, įvesti jūsų svetainėje, užsakymo ir paskyros numeriai, kelias į privatų tik narių puslapį, net vienkartiniai slaptieji prieigos raktai slaptažodžių atstatymo ir patvirtinimo nuorodose. Referrer-Policy leidžia jums sutrumpinti tą pastabą iki tik jūsų domeno vardo arba ją visai išjungti.

Ar verta tuo rūpintis, jei mūsų svetainė neapdoroja mokėjimų?

Beveik tikrai taip. Norint turėti privačios informacijos žiniatinklio adresuose nereikia kasos – paieškos laukeliai, kontaktinės formos, paskyros puslapiai, dokumentų nuorodos ir slaptažodžių atstatymo el. laiškai visi nuolat naudoja adreso juostoje duomenis. Ir net be jokių asmens duomenų, jūsų vidinių puslapio kelių nutekėjimas kiekvienai išorinei svetainei, per kurią klientai spusteli, suteikia konkurentams ir nuskaitymo įrankiams nemokamą jūsų svetainės žemėlapį. Pataisymas nieko nekainuoja ir penkias minutes, todėl mažai priežasčių jį praleisti.

Ar tai įjungimas gali sulaužyti mano svetainę ar mano analitiką?

Ne. Tai yra viena iš saugių antraščių – ji tik valdo, kiek adreso detalių dalijamasi su kitomis svetainėmis, ne ar nuorodos veikia. Rekomenduojamas nustatymas vis dar siunčia jūsų domeno vardą į išorines svetaines, todėl teisėta nukreipimo analitika toliau veikia; ji tik sustabdo privatų visą adresą nuo išvykimo kartu su ja. Nereikia bandomojo stebėjimo tik režimo ir nieko bandyti stadijoje pirma.

Ar tai privatumo teisės klausimas ar tiesiog geras darbas?

Tai gali būti tikras atitikties klausimas. Duomenų apsaugos taisyklės reikalauja jūsų rinkti ir dalytis tik minimaliomis reikalingomis asmeninėmis duomenimis ir žinoti, kam jūsų duomenys eina. Jei jūsų adresuose yra asmeniniai identifikatoriai ir juos nutekinate reklamuotojams ar analitikos įmonėms be jokio susitarimo, tai yra duomenų minimizavimo nesėkmė, kurią auditoriai ir reguliavimo institucijos atpažįsta. Daugumai verslų ši antraštė yra pigi, konkreti būdas uždaryti tą atotrūkį.

Ar tai veikia mūsų vertinimą, ar tai tik patarimas?

Tai veikia jūsų vertinimą. Referrer-Policy tikrinimas yra vertinamas ir vertas iki 15 taškų Žiniatinklio saugumo kategorijoje. Trūkstama antraštė yra pažymėta kaip vidutinio rimtumo. Atkreipkite dėmesį į vieną spąstą: antraštės nustatymas į laidžią reikšmę kaip 'unsafe-url' ar 'no-referrer-when-downgrade' įvertinamas nuliu – tas pats kaip antraštės visai neturėjimas – nes tos reikšmės vis tiek nuteka visą adresą. Norint uždirbti taškus, reikia tinkamai ribojančios reikšmės kaip 'strict-origin-when-cross-origin'.