Defaults.Exposed › Remedieri › Referrer-Policy

Cum să remediezi Referrer-Policy

O Referrer-Policy este o instrucțiune pe o linie pe care site-ul tău o transmite browserului fiecărui vizitator, controlând câte din adresa ta web călătorește cu ei când fac clic pe un link către un alt site. Fără ea, adresa completă a paginii pe care se aflau — termeni de căutare, numere de cont, linkuri de resetare, căi interne de pagini și toate — este predată în tăcere site-ului următor pe care ajung, inclusiv agenților de publicitate, firmelor de analiză și oriunde altundeva indică un link.

Concluzia pentru afacerea ta: De fiecare dată când un vizitator face clic pe un link extern, un anunț sau o resursă partajată, browserul lor poate preda adresa completă a paginii tale la destinație — iar dacă adresele tale poartă interogări de căutare, ID-uri de clienți, numere de comandă sau linkuri de unică folosință, scurgi date ale clienților către terțe părți pe care nu le controlezi. Aceasta este o problemă de protecție a datelor pe care regulatorii o iau în serios, o promisiune de confidențialitate ruptă în tăcere și un decalaj notat pe care echipa de securitate a unui client îl va semnala în cadrul due diligence.

Ce te poate costa

Un client completează un formular sau efectuează o căutare, apoi face clic pe un link extern sau un anunț — iar adresa paginii, completă cu ce au tastat, este predată direct unui agent de publicitate sau firme de analiză cu care nu ai intenționat niciodată să o distribui.
Linkurile de resetare a parolei și de confirmare a contului poartă uneori un token secret în adresa web; fără acest antet, clicul pe orice link de pe acea pagină poate trece adresa întreagă — token inclus — unui site extern.
Căile interne private de pagini (zone de administrare, pagini numai pentru clienți, niveluri de prețuri, linkuri de documente) sunt dezvăluite fiecărei terțe părți prin care fac clic vizitatorii, predând concurenților și celor curiosi o hartă a site-ului tău pe care nu ar trebui să o vadă.
Revizuirea de securitate a unui client sau un audit de confidențialitate scanează site-ul tău, vede că nu există Referrer-Policy și îl înregistrează ca un eșec de minimizare a datelor — genul de constatare care blochează un contract sau o certificare.
Datele personale ajung în mâinile procesatorilor cu care nu ai niciun acord, transformând o neglijență de cinci minute într-o breșă de protecție a datelor raportabilă.

De ce contează. Browserele, lăsate singure, sunt vorbărețe: implicit spun site-ului următor de unde a venit un vizitator, adesea inclusiv adresa completă a paginii. Pentru un site broșură aceasta poate fi inofensivă, dar în momentul în care adresele tale conțin ceva personal — un termen de căutare, un ID de comandă, un email într-un link, o cale privată — acel implicit îl scurge în tăcere către partide externe. O Referrer-Policy este singura setare care spune browserelor să nu mai împărtășească prea mult. Este o verificare notată pe foaia ta de punctaj valorând puncte reale, se mapează direct la îndatoririle de minimizare a datelor conform legislației de confidențialitate, și este unul din antetele standard de securitate pe care orice revizuire profesionistă se așteaptă să le găsească.

Ce este, în cuvinte simple

De fiecare dată când un vizitator de pe site-ul tău face clic pe un link la un alt site — un link extern, un banner publicitar, un “distribuie asta”, chiar și un font sau imagine încărcată de altundeva — browserul lor atașează în tăcere o notă care spune de pe ce pagină a ta au venit. Acea notă se numește referrer.

Folosit cu înțelepciune, referrer-ul este inofensiv și chiar util: este modul în care alte site-uri știu că traficul a venit de la tine și alimentează o mulțime de analitica cinstită. Captura este în comportamentul implicit. Lăsat nemanagerat, browserul nu spune pur și simplu “au venit de la afacereataa.com” — adesea predă adresa completă a paginii exacte, inclusiv tot după numele domeniului. Iar adresele web poartă mult mai mult decât cred oamenii: termeni de căutare tastați pe site-ul tău, numere de comandă și cont, calea spre o pagină de membri privată, chiar și tokenuri secrete de unică folosință în email-urile de resetare a parolei și de confirmare.

O Referrer-Policy este o instrucțiune unică pe care site-ul tău o trimite browserului care spune cât din acea notă are voie să distribuie. Poți să îi spui să distribuie numai numele domeniului tău, numai cu alte pagini de pe propriul tău site sau nimic deloc.

Ce te poate costa

Iată modalități concrete, de zi cu zi, prin care o Referrer-Policy lipsă sau permisivă afectează afaceri reale. Niciunul din acestea nu necesită un hacker — se întâmplă automat, în fiecare zi, în utilizare normală.

Căutarea scursă. Un client caută pe site-ul tău ceva sensibil — un produs medical, un serviciu legat de datorii, o comparație cu concurenți — iar termenul de căutare ajunge în adresa paginii. Fac apoi clic pe un link extern sau pe un anunț de pe acea pagină de rezultate. Agentul de publicitate primește acum adresa ta cu termenul de căutare în ea, aflând exact ce căuta clientul tău.
Linkul de resetare expus. Multe sisteme pun un token secret de unică folosință în adresa paginilor de resetare a parolei, de confirmare a email-ului sau de “autentificare magică”. Dacă acea pagină conține orice link extern sau resursă terță, adresa completă — token inclus — poate fi predată unui site extern.
Harta site-ului pe care ai dat-o gratis. Căile tale interne de pagini adesea dezvăluie structura ta: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Fără acest antet, fiecare site extern prin care fac clic vizitatorii tăi primește acele căi. Concurenții află nivelurile tale de prețuri și liniile de produse; scrapperii află ce pagini să vizeze.
Relația de distribuire a datelor nedorită. Legislația de confidențialitate se așteaptă să știi cui merg datele personale ale clienților tăi și să ai un acord în vigoare. Scurgerea adreselor de pagini care conțin ID-uri de client sau adrese de email la rețele de anunțuri și firme de analiță — fără acord și fără consimțământ — este exact genul de flux de date necontrolat care transformă un audit de rutină într-o constatare.
Tranzacția care se blochează în due diligence. Când echipa de securitate a unui client mai mare te revizuiește, antetele standard de securitate lipsă sunt o bifă automată rapidă. A vedea Referrer-Policy absentă le spune că igiena de bază a confidențialității nu a fost configurată niciodată.

Ce este de fapt

Implicit, browserele urmează un comportament aproximativ echivalent cu “strict-origin-when-cross-origin” pe versiunile moderne — dar nu poți conta pe asta, deoarece browserele mai vechi, webview-urile încorporate și anumite configurații tot revin la a scurge mai mult. Singura cale de a fi sigur este să setezi politica explicit. Când o faci, alegi o regulă dintr-o scurtă listă. Cele care contează:

no-referrer — nu distribui nimic. Site-ul următor nu este informat de unde a venit vizitatorul. Confidențialitate maximă; poate amortiza analitica referire.
same-origin — distribuie adresa completă numai când vizitatorul se mișcă între pagini de pe propriul tău site; nu distribui nimic cu site-urile externe.
strict-origin-when-cross-origin — implicit recomandat. În cadrul propriului tău site, calea completă este distribuită; site-urilor externe, numai numele tău de domeniu gol este distribuit (și nimic deloc când se trece de la o pagină securizată la una nesigură). Terțele aflau că traficul a venit de la tine, dar niciodată detaliile private după domeniu.
origin — distribuie întotdeauna numai numele domeniului tău, chiar și în cadrul propriului tău site.

Și cele două valori de evitat, deoarece foaia de punctaj le tratează ca nu mai bune decât neavând niciun antet:

unsafe-url — distribuie adresa completă cu toată lumea, mereu. Acesta este cel mai rău caz într-un singur cuvânt.
no-referrer-when-downgrade — implicit vechi al browserului; tot trimite adresa completă la alte site-uri securizate, scurgând tot ce s-a descris mai sus.

Cum arată “bine”: un antet Referrer-Policy este prezent și setat la o valoare restrictivă — pentru cele mai multe afaceri, strict-origin-when-cross-origin. Aceasta menține analitica referire funcționând în timp ce asigură că nimic după numele domeniului tău nu ajunge vreodată la un site extern.

Cum se remediază (gratuit, aproximativ 5 minute)

Predă această secțiune persoanei IT, dezvoltatorului web sau suportului de găzduire — remedierea este gratuită, este o singură linie și nu va strica site-ul tău. Nu există niciun lansament riscant aici: spre deosebire de unele setări de securitate, o Referrer-Policy sensibilă nu poate opri linkurile sau paginile să funcționeze. Numai reduce ce este distribuit cu alte site-uri.

Obiectivul: setează un antet de răspuns Referrer-Policy cu valoarea strict-origin-when-cross-origin (sau o valoare mai strictă dacă preferi să distribui și mai puțin).

Cloudflare (fără cod — cel mai ușor dacă îl folosești): Tablou de bord → domeniul tău → Reguli → Reguli de transformare → Modifică antetul de răspuns → Creează regulă → Setează static → Nume antet Referrer-Policy, valoare strict-origin-when-cross-origin → aplică la toate cererile de intrare → Deployează.

Google Workspace / Microsoft 365: acestea gestionează email-ul tău, nu site-ul tău web, deci antetul este setat oriunde este de fapt găzduit site-ul tău (gazda web, CDN sau serverul) — nu în Workspace sau 365 admin.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (în configurarea site-ului sau .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / gazde comune: cele mai multe WordPress gestionate și gazde partajate îți permit să adaugi antete de răspuns fie printr-un plugin de securitate, un panou “antete” în panoul de control al găzduirii sau fragmentul .htaccess de mai sus. Dacă ești în spatele Cloudflare, metoda Cloudflare este cea mai curată și se aplică peste tot simultan.

După aplicare: încarcă site-ul tău și rulează din nou verificarea sau folosește instrumentele de dezvoltare ale browserului tău (tab Rețea → dă clic pe documentul principal → Antete de răspuns) pentru a confirma că Referrer-Policy: strict-origin-when-cross-origin este prezent.

Greșeli comune

Setând o valoare permisivă și presupunând că se numără. unsafe-url și no-referrer-when-downgrade ambele tot scurg adresa completă. Foaia de punctaj le notează zero — identic cu neavând niciun antet. Dacă antetul este prezent dar punctele nu sunt, acesta este aproape întotdeauna motivul.
Setând-o numai pe homepage. Antetul ar trebui trimis pe fiecare pagină, deoarece scurgerile se întâmplă pe pagini de rezultate de căutare, de cont și de resetare — nu pe homepage. Setează-l la serverul, CDN-ul sau nivelul Cloudflare astfel că se aplică la nivelul site-ului automat.
Setând-o numai în taguri HTML <meta>. Un tag <meta name="referrer"> funcționează pentru unele cazuri dar nu toate și este ușor să devii inconsistent pe pagini. Setarea ca antet de răspuns corespunzător (metodele de mai sus) este abordarea fiabilă.
Lăsând un strat să îl înlocuiască pe altul. Dacă atât serverul tău de origine cât și CDN-ul tău setează antetul cu valori diferite, rezultatul poate fi imprevizibil. Alege un singur loc pentru a-l gestiona — de obicei CDN-ul sau Cloudflare dacă ai unul — și menține restul consistent.
Tratând-o ca substitut pentru păstrarea datelor în afara URL-urilor. Antetul limitează daunele, dar obiceiul mai curat pe termen lung este să nu pui secrete și date personale în adresele web în primul rând. Folosește antetul acum; ridică igiena URL-ului cu dezvoltatorul tău ca urmărire.

Pe scurt

Referrer-Policy este cea mai ieftină și mai sigură remediere de confidențialitate de pe foaia ta de punctaj: o linie, aproximativ cinci minute, niciun risc de a strica ceva și gratuită. Oprește browserele vizitatorilor tăi să predea în tăcere adresele tale private de pagini — și orice date personale pe care le conțin — la fiecare site extern prin care fac clic. Setează-o la strict-origin-when-cross-origin, confirmă că este activă pe fiecare pagină și decalajul de severitate medie și cele 15 puncte ale sale sunt închise.

Întrebări frecvente

Nu sunt tehnic — pot rezolva de fapt asta?

Da, și este una din cele mai ușoare remedieri de pe întregul punctaj. Este o linie unică adăugată de cel care rulează site-ul sau găzduirea ta, iar pe servicii precum Cloudflare sunt câteva clicuri fără niciun cod. Predă-le secțiunea 'Cum se remediază' de mai jos. Este gratuită, durează aproximativ cinci minute și, spre deosebire de unele setări de securitate, nu va strica nimic pe site-ul tău.

Ce înseamnă de fapt 'referrer' aici?

Când cineva face clic pe un link de pe pagina ta la alt site web, browserul trimite o notă care spune de pe ce pagină au venit — acea notă se numește referrer. Este cu adevărat utilă pentru analitica cinstită. Problema este că, implicit, nota include adesea adresa ta completă de pagină, nu numai numele domeniului tău. Dacă acea adresă conține ceva privat, este distribuită și ea. O Referrer-Policy îți permite să reduci nota la numai numele domeniului tău sau să o dezactivezi, astfel că nimic sensibil nu se scurge.

Merită cu adevărat să te preocupi de asta dacă site-ul meu nu gestionează plăți?

Aproape sigur da. Nu ai nevoie de un checkout pentru a avea informații private în adresele web — casetele de căutare, formularele de contact, paginile de cont, linkurile de documente și email-urile de resetare a parolei pun în mod obișnuit date în bara de adrese. Și chiar fără date personale deloc, scurgerea căilor interne de pagini ale tale la fiecare site extern prin care fac clic vizitatorii tăi predă concurenților și scrapperilor o hartă gratuită a site-ului tău. Remedierea nu costă nimic și cinci minute, deci există puțin motiv să o omiți.

Ar putea activarea asta să strice site-ul meu sau analitica mea?

Nu. Acesta este unul din antetele sigure — controlează numai câte detalii de adresă sunt distribuite cu alte site-uri, nu dacă linkurile funcționează. Setarea recomandată tot trimite numele domeniului tău la site-uri externe, astfel că analitica legitimă de referire continuă să funcționeze; pur și simplu oprește adresa privată completă de la a merge cu ea. Nu este nevoie de un trial numai-urmărire și nimic de testat mai întâi pe staging.

Aceasta este o problemă de legislație a confidențialității sau numai un lucru frumos de avut?

Poate fi o problemă reală de conformitate. Regulile de protecție a datelor necesită să colectezi și să distribui numai datele personale minime necesare și să știi cui merg datele tale. Dacă adresele tale poartă identificatori personali și le scurgi la agenți de publicitate sau firme de analiză fără niciun acord în vigoare, acesta este un eșec de minimizare a datelor pe care auditorii și regulatorii îl recunosc.

Aceasta afectează nota noastră sau este numai sfat?

Afectează nota. Verificarea Referrer-Policy este notată și valorează până la 15 puncte în categoria Securitate Web. Un antet lipsă este marcat cu severitate medie. Notează o capcană: setarea antetului la o valoare permisivă precum 'unsafe-url' sau 'no-referrer-when-downgrade' notează zero — același lucru ca neavând niciun antet — deoarece acele valori tot scurg adresa completă. Pentru a câștiga punctele ai nevoie de o valoare corespunzător restrictivă precum 'strict-origin-when-cross-origin'.