Defaults.Exposed › Rešenja › Referrer-Policy

Kako popraviti Referrer-Policy

Referrer-Policy je jednolinijska instrukcija koju vaš sajt predaje pretraživaču svakog posjetioca, kontrolišući koliko vaše web adrese putuje s njima kad kliknu link ka drugom sajtu. Bez nje, puna adresa stranice na kojoj su bili — pojmovi pretrage, brojevi naloga, linkovi za resetovanje, putanje internih stranica i sve — tiho se predaje sledećem sajtu na koji pristanu, uključujući oglašivače, analitičke firme i svugdje drugde gdje link pokazuje.

Suština za vaše poslovanje: Svaki put kad posjetilac klikne odlazni link, oglas ili dijeljeni resurs, njihov pretraživač može predati punu adresu vaše stranice odredištu — a ako vaše adrese nose pojmove pretrage, ID kupaca, brojeve narudžbi ili jednokratne linkove, curite podatke kupaca trećim stranama koje ne kontrolišete. To je problem zaštite podataka koji regulatori ozbiljno shvataju, tiho narušena obećanje privatnosti i bodovana praznina koju će bezbednosni tim klijenta flagovati tokom due diligence.

Šta vam ovo može koštati

Kupac popunjava formu ili pretražuje, zatim klikne odlazni link ili oglas — a adresa stranice, potpuna s onim što su upisali, biva direktno predata oglašivaču ili analitičkoj firmi sa kojom niste namjeravali to dijeliti.
Linkovi za resetovanje lozinke i potvrdu naloga ponekad nose tajni token u web adresi; bez ovog headera, klikanje bilo kojeg linka na toj stranici može predati cijelu adresu — token uključen — spoljnom sajtu.
Privatne putanje internih stranica (admin oblasti, stranice samo za kupce, cjenovni nivoi, linkovi dokumenata) otkrivaju se svakoj trećoj strani kroz koju vaši posjetioci kliknu, predajući konkurentima i radoznalim mapi vašeg sajta koja nikad nije trebala biti viđena.
Bezbednosna revizija klijenta ili revizija privatnosti skenira vaš sajt, vidi da nema Referrer-Policy i bilježi to kao grešku minimizacije podataka — vrsta nalaza koji zaustavlja ugovor ili certifikaciju.
Lični podaci završavaju u rukama procesora s kojima nemate sporazum, pretvarajući petominutni propust u prijavivi proboj zaštite podataka.

Zašto je to važno. Pretraživači, prepušteni sebi, su brbljivi: po defaultu govore sledećem sajtu odakle je posjetilac upravo došao, često uključujući punu adresu stranice. Za brošurni sajt to može biti bezazleno, ali čim vaše adrese sadrže nešto lično — pojam pretrage, ID narudžbe, imejl u linku, privatna putanja — taj default tiho curi to spoljnim stranama. Referrer-Policy je jedno podešavanje koje govori pretraživačima da prestanu previše dijeliti. To je bodovana provjera na vašem scorecardu vrijedna prave bodove, direktno mapira na obaveze minimizacije podataka prema zakonima o privatnosti i jedno je od standardnih bezbednosnih headera koje svaka profesionalna revizija očekuje pronaći.

Šta je ovo, jednostavnim rečima

Svaki put kad posjetilac na vašem sajtu klikne link na drugi sajt — odlazni link, banner oglas, “podijeli ovo”, pa čak i font ili sliku učitanu sa drugog mjesta — njihov pretraživač tiho prilaže bilješku govoreći s koje stranice vašeg sajta su došli. Ta bilješka zove se referer.

Korišćena razumno, referrer je bezazlen i čak koristan: to je način na koji drugi sajtovi znaju da je saobraćaj došao od vas, i pokreće mnogo poštene analitike. Zamka je u defaultnom ponašanju. Prepušten, pretraživač ne kaže samo “došli su od your-business.com” — često predaje punu adresu tačne stranice, uključujući sve iza naziva domena. A web adrese nose daleko više nego što se shvata: pojmove pretrage upisane u vaš sajt, ID narudžbi i naloga, putanje do privatnih stranica samo za članove, pa čak i jednokratne tajne tokene u linkovima za resetovanje i potvrdu lozinke.

Referrer-Policy je jedna instrukcija koju vaš sajt šalje pretraživaču govoreći mu koliko te bilješke smije dijeliti. Možete mu reći da dijeli samo ime vašeg domena, samo na drugim stranicama vašeg vlasti sajta, ili ništa. Zamislite to kao razliku između predavanja strancu vaše pune kućne adrese s dnevnim rasporedom, nasuprot samo govoreći im u kom gradu živite.

Ovo je jedan od male familije “bezbednosnih headera” — kratkih instrukcija koje vaš sajt daje pretraživaču svakog posjetioca. Ne menja kako vaš sajt izgleda ili radi. Jednostavno sprečava pretraživač da u vaše ime previše dijeli.

Šta vam ovo može koštati

Evo konkretnih, svakodnevnih načina na koje nedostajuća ili permisivna Referrer-Policy zagriza prava preduzeća. Nijedno od ovih ne zahtijeva hakera — dešavaju se automatski, svaki dan, u normalnoj upotrebi.

Procurjela pretraga. Kupac na vašem sajtu traži nešto osjetljivo — medicinski proizvod, uslugu vezanu za dug, poređenje konkurenta — i termin pretrage slijeće u adresu stranice. Zatim kliknu odlazni link ili oglas na toj stranici rezultata. Oglašivač sada prima vašu adresu s pojmom pretrage u njoj, saznajući tačno za šta je vaš kupac tražio. Niste pristali dijeliti to, i ne možete to povući.
Izloženi link za resetovanje. Mnogi sistemi stavljaju tajni jednokratni token u adresu resetovanja lozinke, potvrde imejla ili stranica “magičnih linkova za prijavu”. Ako ta stranica sadrži bilo koji odlazni link ili resurs treće strane, puna adresa — token uključen — može biti predata spoljnom sajtu. U najgorem slučaju to predaje trećoj strani ključeve naloga.
Mapa sajta koji ste besplatno dali. Putanje vaših internih stranica često otkrivaju vašu strukturu: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Bez ovog headera, svaki spoljni sajt kroz koji vaši posjetioci kliknu prima te putanje. Konkurenti saznaju vaše cjenovne nivoe i linije proizvoda; scrappersi saznaju koje stranice ciljati.
Neželjena veza dijeljenja podataka. Zakon o privatnosti od vas očekuje znanje kome idu lični podaci vaših kupaca i imanje sporazuma na snazi. Curenje adresa stranica koje sadrže ID kupaca ili imejl adrese reklamnim mrežama i analitičkim firmama — bez sporazuma i bez pristanka — je tačno vrsta nekontrolisanog toka podataka koji rutinsku reviziju pretvara u nalaz, a nalaz u prijavivi proboj.
Posao koji zastaje u due diligence. Kad bezbednosni tim većeg kupca pregleda vas, nedostajući standardni bezbednosni headeri su brza, automatizovana tikbok. Viđanje Referrer-Policy odsutne govori im da osnovna higijene privatnosti nikad nije bila postavljena — i taj dojam boji sve ostalo u reviziji.

Šta je to zapravo

Po defaultu, pretraživači prate ponašanje otprilike ekvivalentno “strict-origin-when-cross-origin” na modernim verzijama — ali na to se ne možete osloniti, jer stariji pretraživači, ugrađeni webviews i određene konfiguracije i dalje vraćaju na curenje više. Jedini način za sigurnost je eksplicitno postavljanje politike. Kad to učinite, birate jedno pravilo s kratke liste. Ona koja su bitna:

no-referrer — ne dijelite ništa. Sledećem sajtu se ne govori ništa o tome odakle je posjetilac došao. Maksimalna privatnost; može smanjiti vašu referral analitiku.
same-origin — dijelite punu adresu samo kad se posjetilac kreće između stranica na vašem vlastitom sajtu; ne dijelite ništa sa spoljnim sajtovima.
strict-origin-when-cross-origin — preporučeni default. Unutar vašeg vlastitog sajta, puna putanja se dijeli; spoljnim sajtovima dijeli se samo vaše golo ime domena (i ništa kad se ide sa sigurne stranice na nesigurnu). Spoljne strane saznaju da je saobraćaj došao od vas, ali nikad privatni detalji iza vašeg domena.
origin — uvek dijelite samo ime vašeg domena, čak i unutar vašeg vlastitog sajta.

I dvije vrijednosti kojih se treba kloniti, jer ih scorecard tretira jednako kao da nema headera:

unsafe-url — uvek dijelite punu adresu svima. Ovo je najgori slučaj u jednoj reči.
no-referrer-when-downgrade — stari browser default; i dalje šalje punu adresu drugim sigurnim sajtovima, curivši sve gore opisano.

Kako izgleda “dobro”: Referrer-Policy header prisutan je i postavljen na restriktivnu vrijednost — za većinu preduzeća, strict-origin-when-cross-origin. Ovo zadržava referral analitiku u radu, dok osigurava da ništa iza vašeg naziva domena nikad ne dostiže spoljni sajt.

Kako popraviti (besplatno, oko 5 minuta)

Prosledite ovaj odeljak vašoj IT osobi, web developeru ili podršci hostinga — popravka je besplatna, to je jedna linija i neće pokvariti vaš sajt. Nema rizičnog uvođenja ovdje: za razliku od nekih bezbednosnih podešavanja, razumna Referrer-Policy ne može zaustaviti rad vaših linkova ili stranica. Jedino smanjuje šta se dijeli s drugim sajtovima.

Cilj: postavite Referrer-Policy response header s vrijednošću strict-origin-when-cross-origin (ili strožom vrijednošću ako preferirate manje dijeliti).

Cloudflare (bez koda — najlakše ako ga koristite): Dashboard → vaš domen → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Header name Referrer-Policy, value strict-origin-when-cross-origin → primijenite na sve dolazne zahtjeve → Deploy.

Google Workspace / Microsoft 365: ovi upravljaju vašim imejlom, ne vašim sajtom, pa se header postavlja gdje god je vaš sajt zapravo hostovan (vaš web host, CDN ili server) — ne u Workspace ili 365 admin. Identifikujte host i koristite odgovarajuću opciju ispod.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (u config sajta ili .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / uobičajeni hostovi: većina managed WordPress i shared hostova vam dozvoljava dodavanje response headera putem bezbednosnog plugina, “headers” panela u hosting control panelu ili gornjeg .htaccess isječka. Ako ste iza Cloudflare-a, Cloudflare metoda je najčišća i svuda se primjenjuje odjednom.

Nakon primjene: učitajte vaš sajt i ponovo pokrenite provjeru, ili koristite developer tools vašeg pretraživača (Network tab → kliknite glavni dokument → Response Headers) da potvrdite prisustvo Referrer-Policy: strict-origin-when-cross-origin.

Česte greške

Postavljanje permisivne vrijednosti i pretpostavljanje da se računa. unsafe-url i no-referrer-when-downgrade oba i dalje curenje punu adresu. Scorecard ih boduje nulom — identično kao da nema headera. Ako je header prisutan, ali bodovi nisu, ovo je gotovo uvek razlog.
Postavljanje samo na početnoj stranici. Header treba biti poslan na svakoj stranici, jer se curenje dešava na stranicama pretrage, naloga i resetovanja — ne na početnoj. Postavite ga na nivou servera, CDN-a ili Cloudflare-a da se automatski primjenjuje na cijeli sajt.
Postavljanje samo u HTML <meta> tagovima. <meta name="referrer"> tag funkcioniše u nekim slučajevima, ali ne svim, i lako je doći do nedosljednosti po stranicama. Postavljanje kao pravi response header (gore navedene metode) je pouzdan pristup.
Dopuštanje jednom sloju da nadredi drugi. Ako i vaš origin server i vaš CDN postavljaju header s različitim vrijednostima, rezultat može biti nepredvidiv. Odaberite jedno mjesto za upravljanje njime — obično CDN ili Cloudflare ako imate — i ostalo neka bude konzistentno.
Tretiranje kao zamjenu za izostavljanje podataka iz URL-ova. Header ograničava štetu, ali čišća dugoročna navika je ne stavljati tajne i lične podatke u web adrese uopšte. Koristite header sada; podignite URL higijenu sa vašim developerom kao follow-up.

Kratka napomena o srodnim headerima

Referrer-Policy sjedi uz mali skup ostalih bezbednosnih headera koje proveravamo — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options i nekoliko naprednih cross-origin headera. Štite različite stvari, pa imanje jednog ne pokriva ostale. Ako vaš Referrer-Policy nedostaje, vrijedi zamoliti ko god ga popravlja da potvrdi da su i ostali standardni headeri na snazi istovremeno, budući da su tipično konfigurisani na istom jednom mestu i posjeta ničeg ne košta.

Ukratko

Referrer-Policy je najjeftinija, najbezbednija popravka privatnosti na vašem scorecardu: jedna linija, oko pet minuta, nikakav rizik od kvarenja ičeg i besplatna. Sprečava pretraživače vaših posjetioca da tiho predaju vaše privatne adrese stranica — i sve lične podatke koje sadrže — svakom spoljnom sajtu kroz koji kliknu. Postavite na strict-origin-when-cross-origin, potvrdite da je živo na svakoj stranici i srednje-ozbiljna praznina i njenih 15 bodova su zatvoreni.

Često postavljana pitanja

Nisam tehničar — je li ovo nešto s čim zapravo mogu se nositi?

Da, i jedna je od lakših popravki na cijelom scorecardu. To je jedna linija dodana od strane ko god pokreće vaš sajt ili hosting, a na servisima poput Cloudflare-a to je par klikova bez ikakvih kodova. Prosledite im odeljak 'Kako popraviti' ispod. Besplatno je, traje oko pet minuta, i za razliku od nekih bezbednosnih podešavanja neće ništa pokvariti na vašem sajtu.

Šta ovde uopšte znači 'referer'?

Kad neko klikne link s vaše stranice na drugi sajt, pretraživač šalje bilješku govoreći s koje stranice su došli — ta bilješka zove se referer. Zaista je korisna za poštenu analitiku. Problem je u defaultnom ponašanju. Po defaultu, bilješka često uključuje punu adresu tačne stranice, a ne samo ime vašeg domena. Ako ta adresa sadrži nešto privatno, i ono biva podijeljeno. Referrer-Policy vam dozvoljava da smanjite bilješku na samo ime vašeg domena, ili je isključite, pa ništa osjetljivo ne curi.

Je li ovo zaista vrijedno truditi se ako moj sajt ne rukuje plaćanjima?

Gotovo sigurno da. Ne trebate checkout da biste imali privatne informacije u web adresama — polja za pretragu, kontaktne forme, stranice naloga, linkovi dokumenata i imejlovi za resetovanje lozinke rutinski stavljaju podatke u traku adrese. A čak i bez ličnih podataka uopšte, curenje putanja vaših internih stranica svakom spoljnom sajtu kroz koji vaši posjetioci kliknu predaje konkurentima i scrapperima besplatnu mapu vašeg sajta. Popravka ničeg ne košta i traje pet minuta, pa nema puno razloga preskočiti.

Može li uključivanje ovoga pokvariti moj sajt ili moju analitiku?

Ne. Ovo je jedan od bezbednih headera — kontroliše samo koliko detalja adrese se dijeli s drugima, a ne da li linkovi rade. Preporučena postavka i dalje šalje ime vašeg domena spoljnim sajtovima, pa legitimna referral analitika nastavlja raditi; samo sprečava punu privatnu adresu da prati. Ne treba watch-only proba i nema ničeg za testiranje na stagingu prvo.

Je li ovo zakon o privatnosti ili samo 'lijepo-za-imati'?

Može biti prava compliance stvar. Propisi o zaštiti podataka zahtjevaju od vas prikupljanje i dijeljenje samo minimalnih ličnih podataka potrebnih, i da znate kome vaši podaci idu. Ako vaše adrese nose lične identifikatore i curite ih oglašivačima ili analitičkim firmama bez sporazuma, to je greška minimizacije podataka koje revizori i regulatori prepoznaju. Za većinu preduzeća ovaj header je jeftin, konkretan način zatvaranja te praznine.

Utiče li ovo na naš skor, ili je to samo savjet?

Utiče na vaš skor. Provjera Referrer-Policy je bodovana i vrijedi do 15 bodova u kategoriji Web Bezbednosti. Nedostajući header je označen kao srednja ozbiljnost. Napominjemo jednu zamku: postavljanje headera na permisivnu vrijednost poput 'unsafe-url' ili 'no-referrer-when-downgrade' boduje se nulom — isto kao da nema headera — jer te vrijednosti i dalje curenje punu adresu. Da biste zaradili bodove trebate pravilno restriktivnu vrijednost poput 'strict-origin-when-cross-origin'.