Defaults.Exposed › Fikser › Referrer-Policy

Slik fikser du Referrer-Policy

En Referrer-Policy er en en-linje instruksjon nettstedet ditt gir alle besøkeres nettlesere, og kontrollerer hvor mye av nettadressen som følger med dem når de klikker en lenke til et annet nettsted. Uten den overleveres den fulle adressen til hva enn side de var på — søkeord, kontonumre, tilbakestillingslenker, interne sidestier og alt — stille til neste nettsted de lander på, inkludert annonsører, analysefirmaer og overalt annet en lenke peker.

Bunnlinjen for virksomheten din: Hver gang en besøkende klikker en utgående lenke, annonse eller delt ressurs, kan nettleseren gi den fulle adressen til siden til destinasjonen — og hvis adressene bærer søkeforespørsler, kunde-IDer, ordrenumre eller éngangslenker, lekker du kundedata til tredjeparter du ikke kontrollerer. Det er et databeskyttelsesproblem tilsynsmyndigheter tar på alvor, et personvernløfte stille brutt, og et scoret gap en klients sikkerhetsteam vil flagge under due diligence.

Hva dette kan koste deg

En kunde fyller ut et skjema eller kjører en søk, og klikker deretter en utgående lenke eller annonse — og sideadressen, komplett med det de tastet, leveres rett til en annonsør eller analysefirma du aldri hadde til hensikt å dele det med.
Passordtilbakestillings- og kontobekreftelseslenker bærer noen ganger et hemmelig token i nettadressen; uten denne toppteksten kan det å klikke enhver lenke på den siden gi hele adressen — token inkludert — til et utenforstående nettsted.
Private interne sidestier (admin-områder, kundeside-sider, prisnivåer, dokumentlenker) avsløres for alle tredjeparter besøkende klikker gjennom til, og gir konkurrenter og snoker et kart over siden din de aldri burde se.
En klients sikkerhetsgjennomgang eller en personvernrevisjon skanner siden, ser ingen Referrer-Policy, og logger det som en dataminimaliseringsfeil — den typen funn som staller en kontrakt eller en sertifisering.
Personopplysninger havner i hendene på behandlere du ikke har avtale med, og gjør en fem-minutters oversikt til et rapporteringspliktig databeskyttelsesbrudd.

Hvorfor det er viktig. Nettlesere, overlatt til seg selv, er pratøre: som standard forteller de neste nettsted hvor en besøkende nettopp kom fra, ofte inkludert den fulle adressen til siden. For en brosjyreside er det kanskje ufarlig, men i det øyeblikket adressene inneholder noe personlig — et søkeord, en ordre-ID, en e-post i en lenke, en privat sti — lekker standarden det stille til utenforstående parter. En Referrer-Policy er den ene innstillingen som forteller nettlesere å slutte å overdele. Det er en scoret sjekk på karakterkortet ditt verdt reelle poeng, den kartlegger direkte til dataminimaliseringsplikter under personvernlov, og det er en av standard sikkerhetstopptekstene enhver profesjonell gjennomgang forventer å finne.

Hva dette er, i enkle ord

Hver gang en besøkende på nettstedet klikker en lenke til et annet nettsted — en utgående lenke, en bannerannonse, en «del dette», til og med en skrifttype eller et bilde lastet fra et annet sted — fester nettleseren stille en lapp som sier hvilken side av din de kom fra. Den lappen kalles referreren.

Brukt fornuftig er referreren uskyldig og til og med nyttig: det er slik andre nettsteder vet at trafikk kom fra deg, og det driver mye ærlig analyse. Problemet er i standardoppførselen. Overlatt uhåndtert gir ikke nettleseren bare «de kom fra dinvirksomhet.com» — den overleverer ofte den fulle adressen til den nøyaktige siden, inkludert alt etter domenenavnet. Og nettadresser bærer langt mer enn folk innser: søkeord tastet inn på siden, bestillings- og kontonumre, stien til en privat kun-for-medlemmer-side, til og med éngangs-hemmelige tokens i passordtilbakestillings- og bekreftelseslenker.

En Referrer-Policy er en enkelt instruksjon nettstedet ditt sender til nettleseren som sier hvor mye av den lappen den har lov til å dele. Du kan fortelle den å bare dele domenenavnet ditt, bare til andre sider på din egen side, eller ingenting i det hele tatt. Tenk på det som forskjellen mellom å gi en fremmed din fulle hjemmeadresse med den daglige timeplanen vedlagt, versus å bare si hvilken by du bor i.

Hva dette kan koste deg

Her er konkrete, hverdagslige måter en manglende eller tillatelsesfull Referrer-Policy biter ekte virksomheter. Ingen av disse krever en hacker — de skjer automatisk, hver dag, i normal bruk.

Den lekkede søken. En kunde søker på siden din etter noe sensitivt — et medisinsk produkt, en gjeldsrelatert tjeneste, en konkurrentsammenligning — og søkeordet lander i sideadressen. De klikker deretter en utgående lenke eller en annonse på den resultatsiden. Annonsøren mottar nå adressen din med søkeordet i den, og lærer nøyaktig hva kunden lette etter. Du godtok aldri å dele det, og du kan ikke ta det tilbake.
Den eksponerte tilbakestillingslenken. Mange systemer legger et hemmelig éngangs-token i adressen til passordtilbakestillings-, e-postbekreftelse eller «magisk innlogging»-sider. Hvis den siden inneholder noen utgående lenker eller tredjeparts ressurser, kan den fulle adressen — token inkludert — overleveres til et utenforstående nettsted. I verste fall gir en tredjepart nøklene til en konto.
Nettstedskartet du ga bort gratis. De interne sidesstiene dine avslører ofte strukturen: /admin, /enterprise-priser, /klienter/eksempel, /nedlastinger/privat-rapport. Uten denne toppteksten mottar alle utenforstående nettsteder besøkende klikker gjennom til disse stiene. Konkurrenter lærer prisnivåene og produktlinjene dine; scrapere lærer hvilke sider de skal rette seg mot.
Det uønskede datadelingsforholdet. Personvernloven forventer at du vet hvem kundedataene dine går til og har en avtale på plass. Lekkasje av sideadresser som inneholder kunde-IDer eller e-postadresser til annonsenettverk og analysefirmaer — uten avtale og uten samtykke — er nøyaktig den typen ukontrollerte dataflyt som gjør en rutinerevisjonen til et funn, og et funn til et rapporteringspliktig brudd.
Avtalen som staller ved due diligence. Når en større kundes sikkerhetsteam gjennomgår deg, er manglende standard sikkerhetstopptekster et raskt, automatisert avkrysningsrutenett. Å se Referrer-Policy fraværende forteller dem at grunnleggende personvernhygiene aldri ble satt opp — og det inntrykket farger alt annet i gjennomgangen.

Hva det faktisk er

Som standard følger nettlesere en atferd omtrent tilsvarende «strict-origin-when-cross-origin» på moderne versjoner — men du kan ikke stole på det, fordi eldre nettlesere, innebygde webvisninger og visse konfigurasjoner fortsatt faller tilbake til å lekke mer. Den eneste måten å være sikker på er å sette policyen eksplisitt. Når du gjør det, velger du en regel fra en kort liste. De som betyr noe:

no-referrer — del ingenting. Neste nettsted får ikke vite noe om hvor besøkeren kom fra. Maksimal personvern; kan dempe referanseanalysen din.
same-origin — del den fulle adressen bare når besøkende beveger seg mellom sider på din egen side; del ingenting med utenforstående.
strict-origin-when-cross-origin — den anbefalte standarden. Innenfor din egen side deles den fulle stien; til utenforstående deles bare det bare domenenavnet (og ingenting i det hele tatt når man går fra en sikker side til en usikker). Utenforstående parter lærer at trafikk kom fra deg, men aldri de private detaljene etter domenet ditt.
origin — del alltid bare domenenavnet ditt, selv innenfor din egen side.

Og de to verdiene du bør unngå, fordi karakterkortet behandler dem som ikke bedre enn å ikke ha noen topptekst:

unsafe-url — del den fulle adressen med alle, alltid. Dette er verste fall i ett ord.
no-referrer-when-downgrade — den gamle nettleserstandarden; den sender fortsatt den fulle adressen til andre sikre nettsteder, og lekker alt beskrevet ovenfor.

Hva «bra» ser ut som: en Referrer-Policy-topptekst er til stede og satt til en restriktiv verdi — for de fleste virksomheter, strict-origin-when-cross-origin. Dette holder referanseanalyse i gang mens det sikrer at ingenting forbi domenenavnet noen gang når et utenforstående nettsted.

Slik fikser du det (gratis, omtrent 5 minutter)

Send denne seksjonen til IT-personen, webutvikleren eller webhotellsupporten — fiksen er gratis, det er én enkelt linje, og den vil ikke ødelegge siden din. Det er ingen risikabel utrulling her: i motsetning til noen sikkerhetsinnstillinger kan ikke en fornuftig Referrer-Policy stoppe lenker eller sider fra å fungere. Den trimmer bare hva som deles med andre nettsteder.

Målet: sett en Referrer-Policy-svarhodet med verdien strict-origin-when-cross-origin (eller en strengere verdi hvis du foretrekker å dele enda mindre).

Cloudflare (ingen kode — enklest hvis du bruker det): Dashbord → domenet ditt → Regler → Transformasjonsregler → Modifiser svarhodet → Opprett regel → Sett statisk → Topptekstnavn Referrer-Policy, verdi strict-origin-when-cross-origin → gjelder alle innkommende forespørsler → Distribuer.

Google Workspace / Microsoft 365: disse administrerer e-posten din, ikke nettstedet, så toppteksten settes der siden faktisk er hostet (webhotellet, CDN-en eller serveren) — ikke i Workspace eller 365 admin.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (i nettstedsconfigen eller .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / vanlige verter: de fleste administrerte WordPress- og delte verter lar deg legge til svarhodet enten gjennom et sikkerhets-plugin, et «topptekster»-panel i webhotellkontrollpanelet, eller .htaccess-utdraget ovenfor. Hvis du er bak Cloudflare, er Cloudflare-metoden den reneste og gjelder overalt på én gang.

Etter å ha brukt: last inn siden og kjør sjekken på nytt, eller bruk nettleserens utviklerverktøy (Nettverk-fane → klikk hoveddokumentet → Svarhodet) for å bekrefte at Referrer-Policy: strict-origin-when-cross-origin er til stede.

Vanlige feil

Sette en tillatelsesverdier og anta at den teller. unsafe-url og no-referrer-when-downgrade lekker begge den fulle adressen. Karakterkortet scorer dem til null — identisk med å ikke ha noen topptekst. Hvis toppteksten er til stede, men poengene ikke er det, er dette nesten alltid hvorfor.
Sette den bare på hjemmesiden. Toppteksten bør sendes på alle sider, fordi lekkasjer skjer på søkeresultater, konto- og tilbakestillingssider — ikke hjemmesiden. Sett den på server-, CDN- eller Cloudflare-nivå slik at den gjelder nettstedbredt automatisk.
Sette den bare i HTML <meta>-tagger. En <meta name="referrer">-tag fungerer i noen tilfeller, men ikke alle, og er enkel å gjøre inkonsistent på tvers av sider. Å sette den som en riktig svarhodet (metodene ovenfor) er den pålitelige tilnærmingen.
La ett lag overstyre et annet. Hvis både opprinnelsesserveren og CDN-en setter toppteksten med forskjellige verdier, kan resultatet være uforutsigbart. Velg ett sted å administrere den — vanligvis CDN-en eller Cloudflare hvis du har en — og hold resten konsistent.
Behandle det som en erstatning for å holde data ute av URL-er. Toppteksten begrenser skaden, men den renere langsiktige vanen er å ikke legge hemmeligheter og personopplysninger i nettadresser i utgangspunktet. Bruk toppteksten nå; ta opp URL-hygiene med utvikleren som en oppfølging.

En rask merknad om de relaterte topptekstene

Referrer-Policy sitter ved siden av et lite sett med andre web-sikkerhetstopptekster vi sjekker — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options og noen avanserte kryssopprinnelses-topptekster. De beskytter forskjellige ting, så å ha én dekker ikke de andre. Hvis Referrer-Policy mangler, er det verdt å spørre den som fikser det om å bekrefte at de andre standard topptekstene er på plass samtidig, siden de typisk konfigureres på det samme ene stedet og besøket koster ingenting ekstra.

Kort sagt

Referrer-Policy er den billigste, tryggeste personvern-fiksen på karakterkortet: én linje, omtrent fem minutter, ingen risiko for å ødelegge noe, og gratis. Den stopper nettleserene til besøkende fra å stille overlevere private sideadresser — og hvilken personopplysninger de inneholder — til alle utenforstående nettsteder de klikker gjennom til. Sett den til strict-origin-when-cross-origin, bekreft at den er live på alle sider, og middels-alvorlighetsgapet og de 15 poengene er lukket.

FAQ

Jeg er ikke teknisk anlagt — er dette noe jeg faktisk kan ordne?

Ja, og det er en av de enkleste fiksene på hele karakterkortet. Det er en enkelt linje lagt til av den som driver nettstedet eller webhotellet, og på tjenester som Cloudflare er det et par klikk uten kode i det hele tatt. Send dem «Slik fikser du det»-seksjonen nedenfor. Det er gratis, tar omtrent fem minutter, og i motsetning til noen sikkerhetsinnstillinger vil det ikke ødelegge noe på siden din.

Hva betyr 'referrer' egentlig her?

Når noen klikker en lenke fra siden din til et annet nettsted, sender nettleseren med en lapp som sier hvilken side de kom fra — det kalles referrer. Det er genuint nyttig for ærlig analyse. Problemet er at noten som standard ofte inkluderer den fulle sideadressen, ikke bare domenenavnet. Hvis den adressen inneholder noe privat, deles det også. En Referrer-Policy lar deg trimme noten ned til bare domenenavnet ditt, eller slå den av, slik at ingenting sensitivt lekker.

Er dette virkelig verdt å bry seg om hvis siden ikke håndterer betalinger?

Nesten sikkert ja. Du trenger ikke en kasse for å ha privat informasjon i nettadressene dine — søkebokser, kontaktskjemaer, kontosider, dokumentlenker og passordtilbakestillingseposter legger rutinemessig data i adresselinjen. Og selv uten personopplysninger i det hele tatt, gir det å lekke de interne sidesstiene til alle utenforstående nettsteder besøkende klikker gjennom til, konkurrenter og scrapere et gratis kart over siden din. Fiksen koster ingenting og fem minutter, så det er liten grunn til å hoppe over det.

Kan det å slå dette på ødelegge siden eller analysen min?

Nei. Dette er en av de trygge topptekstene — den kontrollerer bare hvor mye adressedetalj som deles med andre nettsteder, ikke om lenker fungerer. Den anbefalte innstillingen sender fortsatt domenenavnet til utenforstående nettsteder, slik at legitim henvisningsanalyse fortsetter å fungere; den stopper bare den private fulle adressen fra å gå med. Det er ingen kun-se-modus-prøve nødvendig og ingenting å teste på staging først.

Er dette et personvernrettslig spørsmål eller bare en bonus?

Det kan være et genuint samsvarspproblem. Databeskyttelsesregler krever at du samler inn og deler bare minimalt med nødvendige personopplysninger, og vet hvem dataene dine går til. Hvis adressene bærer personidentifikatorer og du lekker dem til annonsører eller analysefirmaer uten en avtale på plass, er det en dataminimaliseringsfeil revisorene og tilsynsmyndighetene anerkjenner. For de fleste virksomheter er denne toppteksten en billig, konkret måte å lukke det gapet.

Påvirker dette karakteren, eller er det bare råd?

Det påvirker karakteren. Referrer-Policy-sjekken er scoret og verdt opptil 15 poeng i web-sikkerhetskategorien. En manglende topptekst er merket middels alvorlighetsgrad. Merk én felle: å sette toppteksten til en tillatelsesverdier som 'unsafe-url' eller 'no-referrer-when-downgrade' scorer null — det samme som å ikke ha noen topptekst i det hele tatt — fordi disse verdiene fortsatt lekker den fulle adressen. For å tjene poengene trenger du en skikkelig restriktiv verdi som 'strict-origin-when-cross-origin'.