Defaults.Exposed › Düzeltmeler › Referrer-Policy

Referrer-Policy nasıl düzeltilir

Referrer-Policy, web sitenizin her ziyaretçinin tarayıcısına verdiği, başka bir siteye bağlantıya tıkladıklarında web adresinizin ne kadarının onlarla birlikte gittiğini kontrol eden tek satırlık talimattır. Bu olmadan, her sayfanın tam adresi — arama terimleri, hesap numaraları, sıfırlama bağlantıları, dahili sayfa yolları ve tüm bunlar — ziyaret ettikleri bir sonraki siteye, reklamcılara, analitik firmalarına ve bir bağlantının gösterdiği her yere sessizce teslim edilir.

İşletmeniz için sonuç: Bir ziyaretçi giden bir bağlantıya, reklama veya paylaşılan kaynağa her tıkladığında, tarayıcısı tam sayfa adresinizi hedefe teslim edebilir — ve bu adresler arama sorguları, müşteri kimlikleri, sipariş numaraları veya tek kullanımlık bağlantılar taşıyorsa, kontrol etmediğiniz üçüncü taraflara müşteri verisi sızdırıyorsunuz demektir. Bu, düzenleyicilerin ciddiye aldığı bir veri koruma sorunudur, sessizce çiğnenen bir gizlilik sözüdür ve müşterinin güvenlik ekibinin durum tespiti sırasında işaretleyeceği puanlanmış bir açıktır.

Bu size ne mal olabilir

• Müşteri bir form doldurur veya arama yapar, ardından giden bir bağlantıya veya reklama tıklar — ve tam sayfa adresi, yazdıklarıyla birlikte, asla paylaşmayı düşünmediğiniz bir reklamcıya veya analitik firmaya doğrudan iletilir.
• Parola sıfırlama ve hesap onay bağlantıları bazen web adresinde gizli bir jeton taşır; bu başlık olmadan o sayfadaki herhangi bir bağlantıya tıklamak tam adresi — jeton dahil — dış bir siteye geçirebilir.
• Özel dahili sayfa yolları (yönetici alanları, yalnızca müşteriye açık sayfalar, fiyatlandırma kademeleri, belge bağlantıları), ziyaretçilerin tıkladığı her üçüncü tarafa açıklanır — rakiplere ve meraklılara asla görmemesi gereken sitenizin haritasını sunar.
• Müşterinin güvenlik incelemesi veya gizlilik denetimi sitenizi tarar, Referrer-Policy görmez ve bunu veri minimizasyonu başarısızlığı olarak kaydeder — bu türden bir bulgu, bir sözleşmeyi veya sertifikayı duraksatır.
• Kişisel veriler anlaşmanız olmayan işleyicilerin eline geçer — beş dakikalık ihmalden bildirilebilir bir veri koruma ihlaline dönüşür.

Neden önemlidir. Tarayıcılar kendi hallerine bırakıldığında çok konuşkandır: varsayılan olarak bir sonraki web sitesine ziyaretçinin az önce nereden geldiğini söylerler ve çoğunlukla sayfanın tam adresini dahil ederler. Broşür sitesi için zararsız olabilir, ama adresleriniz kişisel bir şey içerdiği anda — arama terimi, sipariş kimliği, bir bağlantıdaki e-posta, özel bir yol — bu varsayılan onu dış taraflara sessizce sızdırır. Referrer-Policy, tarayıcılara aşırı paylaşmayı bırakmalarını söyleyen tek ayardır. Puan kartınızda gerçek puan taşıyan puanlanan bir kontroldür, doğrudan gizlilik yasası kapsamındaki veri minimizasyonu yükümlülükleriyle örtüşür ve herhangi bir profesyonel incelemenin bulmayı beklediği standart güvenlik başlıklarından biridir.

Sade dille nedir

Web sitenizde bir ziyaretçi başka bir siteye bağlantıya her tıkladığında — giden bağlantı, banner reklam, “bunu paylaş” veya hatta başka bir yerden yüklenen yazı tipi veya resim — tarayıcısı sessizce sizin hangi sayfanızdan geldiklerini söyleyen bir not ekler. Bu nota referrer (yönlendiren) denir.

Akıllıca kullanıldığında referrer zararsızdır ve hatta faydalıdır: trafiğin sizden geldiğini diğer sitelerin bilme yoludur ve dürüst analizlerin büyük bölümünü besler. Sorun varsayılan davranıştadır. Yönetilmezse tarayıcı yalnızca “sitenizden geldiler” demez — çoğunlukla tam sayfanın adresini, alan adının arkasındaki her şeyi teslim eder. Web adresleri insanların fark ettiğinden çok daha fazla şey taşır: sitenize yazılan arama terimleri, sipariş ve hesap numaraları, özel üye sayfasına giden yol, hatta parola sıfırlama ve onay bağlantılarındaki tek kullanımlık gizli jetonlar.

Referrer-Policy, web sitenizin tarayıcıya o notun ne kadar paylaşmasına izin verildiğini söylediği tek bir talimattır. Yalnızca alan adınızı, yalnızca kendi sitenizdeki diğer sayfalara veya hiçbir şey paylaşmamasını söyleyebilirsiniz. Tam ev adresinizi ve günlük programınızı bir yabancıya vermek ile yalnızca hangi şehirde yaşadığınızı söylemek arasındaki fark gibi.

Bu, her ziyaretçinin tarayıcısına sitenizin gönderdiği küçük “güvenlik başlıkları” ailesinden biridir. Sitenizin nasıl göründüğünü veya nasıl çalıştığını değiştirmez. Yalnızca tarayıcının sizin adınıza aşırı paylaşmasını durdurur.

Size maliyeti ne olabilir

İşte eksik veya izin verici Referrer-Policy’nin gerçek işletmeleri ısırdığı somut, günlük yollar. Bunların hiçbiri korsanlık gerektirmez — normal kullanımda her gün otomatik olarak olurlar.

• Sızdırılan arama. Müşteri sitenizde hassas bir şey arar — tıbbi ürün, borçla ilgili hizmet, rakip karşılaştırması — ve arama terimi sayfa adresine düşer. Ardından o sonuçlar sayfasındaki giden bir bağlantıya veya reklama tıklarlar. Reklamcı şimdi sitenizin adresini içinde arama terimiyle birlikte alır — müşterinizin tam olarak ne aradığını öğrenir. Bunu paylaşmayı hiç kabul etmediniz ve geri alamazsınız.

• Açığa çıkan sıfırlama bağlantısı. Birçok sistem, parola sıfırlama, e-posta onayı veya “sihirli giriş” sayfalarının adresine gizli tek kullanımlık jeton koyar. Bu sayfa herhangi bir giden bağlantı veya üçüncü taraf kaynak içeriyorsa, tam adres — jeton dahil — dış bir siteye iletilebilir. En kötü durumda bu, üçüncü tarafa bir hesabın anahtarlarını teslim eder.

• Bedavaya verdiğiniz site haritası. Dahili sayfa yollarınız çoğunlukla yapınızı ortaya koyar: /admin, /kurumsal-fiyatlandirma, /musteriler/acme, /indirmeler/ozel-rapor. Bu başlık olmadan ziyaretçilerinizin tıkladığı her dış site bu yolları alır. Rakipler fiyatlandırma kademelerinizi ve ürün gruplarınızı öğrenir; kazıyıcılar hangi sayfaların hedefleneceğini öğrenir.

• İstenmeyen veri paylaşım ilişkisi. Gizlilik yasası, müşterilerinizin kişisel verilerinin kime gittiğini bilmenizi ve bir anlaşmanızın olmasını bekler. Müşteri kimliklerini veya e-posta adreslerini içeren sayfa adreslerini — anlaşma ve onay olmaksızın — reklam ağlarına ve analitik firmalara sızdırmak, rutin denetimi bulguya, bulguyu bildirilebilir ihlale dönüştüren tam türden kontrolsüz veri akışıdır.

• Durum tespitinde duran anlaşma. Daha büyük bir müşterinin güvenlik ekibi sizi incelediğinde, eksik standart güvenlik başlıkları hızlı, otomatik bir onay kutusudur. Referrer-Policy’nin yokluğunu görmek onlara temel gizlilik hijyeninin hiç kurulmadığını söyler — ve bu izlenim incelemenin geri kalanını renklendirir.

Teknik olarak nedir

Varsayılan olarak tarayıcılar modern sürümlerde kabaca “strict-origin-when-cross-origin”e eşdeğer bir davranışı takip eder — ama buna güvenemezsiniz, çünkü eski tarayıcılar, gömülü web görünümleri ve belirli yapılandırmalar hâlâ daha fazla sızıntıya geri döner. Emin olmanın tek yolu politikayı açıkça ayarlamaktır. Bunu yaptığınızda kısa bir listeden bir kural seçiyorsunuz. Önem taşıyanlar:

• no-referrer — hiçbir şeyi paylaşma. Bir sonraki siteye ziyaretçinin nereden geldiği hakkında hiçbir şey söylenmez. Maksimum gizlilik; yönlendirme analizlerinizi azaltabilir.
• same-origin — tam adresi yalnızca ziyaretçi kendi sitenizden sayfalar arasında geçtiğinde paylaş; dış sitelerle hiçbir şeyi paylaşma.
• strict-origin-when-cross-origin — önerilen varsayılan. Kendi sitenizde tam yol paylaşılır; dış sitelere yalnızca çıplak alan adınız paylaşılır (ve güvenli sayfadan güvensiz sayfaya geçerken hiçbir şey). Dış taraflar trafiğin sizden geldiğini öğrenir, ama alan adınızın ötesindeki özel ayrıntıları asla.
• origin — her zaman yalnızca alan adınızı paylaş, hatta kendi sitenizde bile.

Ve puanlamamızın hiç başlık yokmuş gibi değerlendirdiği için kaçınılması gereken iki değer:

• unsafe-url — tam adresi herkesle her zaman paylaş. Bu, tek kelimede en kötü durumdur.
• no-referrer-when-downgrade — eski tarayıcı varsayılanı; hâlâ tam adresi diğer güvenli sitelere göndererek yukarıda açıklanan her şeyi sızdırır.

“İyi” neye benzer: Referrer-Policy başlığı mevcut ve kısıtlayıcı bir değere ayarlı — çoğu işletme için strict-origin-when-cross-origin. Bu, yönlendirme analizlerini çalışır tutarken alan adınızın ötesindeki hiçbir şeyin asla dış siteye ulaşmamasını sağlar.

Nasıl düzeltilir (ücretsiz, yaklaşık 5 dakika)

Bu bölümü BT uzmanınıza, web geliştiricize veya barındırma desteğinize iletin — düzeltme ücretsizdir, tek bir satırdır ve sitenizi bozmaz. Burada riskli bir dağıtım yoktur: bazı güvenlik ayarlarından farklı olarak, makul bir Referrer-Policy bağlantıların veya sayfaların çalışmasını durduramaz. Yalnızca diğer sitelerle paylaşılanları kırpar.

Hedef: strict-origin-when-cross-origin (veya daha az paylaşmayı tercih ederseniz daha kısıtlayıcı) değeriyle Referrer-Policy yanıt başlığını ayarlamak.

Cloudflare (kod yok — kullanıyorsanız en kolayı): Gösterge Tablosu → alan adınız → Kurallar → Dönüştürme Kuralları → Yanıt Başlığını Değiştir → Kural oluştur → Statik ayarla → Başlık adı Referrer-Policy, değer strict-origin-when-cross-origin → tüm gelen isteklere uygula → Dağıt.

Google Workspace / Microsoft 365: bunlar e-postanızı yönetir, web sitenizi değil — dolayısıyla başlık sitenizin gerçekten barındırıldığı yerde (web barındırıcınız, CDN’niz veya sunucunuz) ayarlanır, Workspace veya 365 yöneticisinde değil. Barındırıcıyı belirleyin ve aşağıdaki uygun seçeneği kullanın.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (site yapılandırmasında veya .htaccess’te):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / yaygın barındırıcılar: çoğu yönetilen WordPress ve paylaşımlı barındırıcı, bir güvenlik eklentisi, barındırma kontrol panelindeki “başlıklar” paneli veya yukarıdaki .htaccess pasajı aracılığıyla yanıt başlıkları eklemenize izin verir. Cloudflare kullanıyorsanız, Cloudflare yöntemi en temizdir ve her yerde aynı anda uygulanır.

Uyguladıktan sonra: sitenizi yükleyin ve kontrolü yeniden çalıştırın ya da tarayıcınızın geliştirici araçlarını kullanın (Ağ sekmesi → ana belgeye tıklayın → Yanıt Başlıkları) ve Referrer-Policy: strict-origin-when-cross-origin’in mevcut olduğunu doğrulayın.

Yaygın hatalar

• İzin verici değer ayarlayıp geçtiğini varsaymak. unsafe-url ve no-referrer-when-downgrade ikisi de hâlâ tam adresi sızdırır. Puan kartı bunları sıfır olarak puanlar — hiç başlık yokmuş gibi aynı. Başlık mevcut ama puanlar gelmiyorsa, neredeyse her zaman budur.
• Yalnızca ana sayfaya ayarlamak. Başlık her sayfada gönderilmeli, çünkü sızdırmalar arama sonuçları, hesap ve sıfırlama sayfalarında gerçekleşir — ana sayfada değil. Otomatik olarak site genelinde uygulanması için sunucu, CDN veya Cloudflare düzeyinde ayarlayın.
• Yalnızca HTML <meta> etiketlerinde ayarlamak. <meta name="referrer"> etiketi bazı durumlarda işe yarar ama hepsinde değil ve sayfalar arasında tutarsız hale gelmesi kolaydır. Uygun yanıt başlığı olarak ayarlamak (yukarıdaki yöntemler) güvenilir yaklaşımdır.
• Bir katmanın diğerini geçersiz kılmasına izin vermek. Kaynak sunucunuz ve CDN’niz farklı değerlerle başlık ayarlıyorsa sonuç öngörülemez olabilir. Genellikle varsa CDN veya Cloudflare olan tek bir yerde yönetin ve geri kalanı tutarlı tutun.
• URL’lerdeki verileri dışarıda tutmanın yerini tuttuğunu düşünmek. Başlık hasarı sınırlar, ama daha temiz uzun vadeli alışkanlık başlangıçta sırları ve kişisel verileri web adreslerine koymamaktır. Başlığı şimdi kullanın; URL hijyenini geliştiricinizle takip adımı olarak gündeme getirin.

SSS