Defaults.Exposed › Cách khắc phục › Referrer-Policy

Cách khắc phục Referrer-Policy

Referrer-Policy là một hướng dẫn một dòng website của bạn trao cho trình duyệt của mỗi khách truy cập, kiểm soát bao nhiêu địa chỉ web của bạn đi cùng họ khi họ nhấp vào liên kết đến trang khác. Không có nó, địa chỉ đầy đủ của bất kỳ trang nào họ đang trên — từ khóa tìm kiếm, số tài khoản, liên kết đặt lại, đường dẫn trang nội bộ và tất cả — được lặng lẽ trao cho trang tiếp theo họ hạ cánh, kể cả nhà quảng cáo, công ty analytics, và bất cứ nơi nào liên kết trỏ đến.

Điểm mấu chốt với doanh nghiệp bạn: Mỗi lần khách truy cập nhấp liên kết đi ra, quảng cáo, hoặc resource chia sẻ, trình duyệt của họ có thể trao địa chỉ đầy đủ của trang của bạn cho đích đến — và nếu địa chỉ của bạn mang theo truy vấn tìm kiếm, ID khách hàng, số đơn hàng, hoặc liên kết một lần, bạn đang rò rỉ dữ liệu khách hàng cho các bên thứ ba bạn không kiểm soát. Đó là vấn đề bảo vệ dữ liệu mà cơ quan quản lý coi nghiêm túc, một hứa hẹn quyền riêng tư bị phá vỡ lặng lẽ, và khoảng cách có điểm mà nhóm bảo mật của khách hàng sẽ gắn cờ trong thẩm định.

Điều này có thể gây thiệt hại gì

• Khách hàng điền form hoặc chạy tìm kiếm, sau đó nhấp liên kết đi ra hoặc quảng cáo — và địa chỉ trang, hoàn chỉnh với những gì họ gõ, được trao thẳng cho nhà quảng cáo hoặc công ty analytics bạn không bao giờ định chia sẻ.
• Liên kết đặt lại mật khẩu và xác nhận tài khoản đôi khi mang token bí mật trong địa chỉ web; không có header này, nhấp bất kỳ liên kết nào trên trang đó có thể truyền địa chỉ đầy đủ — kể cả token — đến trang bên ngoài.
• Đường dẫn trang nội bộ riêng tư (khu vực admin, trang chỉ-khách-hàng, bậc giá, liên kết tài liệu) được tiết lộ cho mọi bên thứ ba mà khách truy cập nhấp qua, trao cho đối thủ và kẻ theo dõi bản đồ trang của bạn mà họ không bao giờ nên thấy.
• Đánh giá bảo mật của khách hàng hoặc kiểm toán quyền riêng tư quét trang của bạn, thấy không có Referrer-Policy, và ghi nhật ký là thất bại tối thiểu hóa dữ liệu — loại phát hiện đình trệ hợp đồng hoặc chứng nhận.
• Dữ liệu cá nhân vào tay các đơn vị xử lý bạn không có thỏa thuận, biến sơ suất năm phút thành vi phạm bảo vệ dữ liệu phải báo cáo.

Tại sao điều này quan trọng. Trình duyệt, để chính chúng, là nói nhiều: theo mặc định chúng nói với trang web tiếp theo nơi khách truy cập vừa đến từ đó, thường bao gồm địa chỉ đầy đủ của trang. Với trang brochure điều đó có thể vô hại, nhưng ngay khi địa chỉ của bạn chứa bất cứ thứ gì cá nhân — từ khóa tìm kiếm, ID đơn hàng, email trong liên kết, đường dẫn riêng tư — mặc định đó lặng lẽ rò rỉ nó cho các bên bên ngoài. Referrer-Policy là cài đặt duy nhất nói với trình duyệt dừng chia sẻ quá mức. Đây là kiểm tra có điểm trên scorecard của bạn đáng điểm thật, nó ánh xạ trực tiếp đến nghĩa vụ tối thiểu hóa dữ liệu theo luật quyền riêng tư, và là một trong các header bảo mật tiêu chuẩn mà bất kỳ đánh giá chuyên nghiệp nào cũng mong tìm thấy.

Thực ra là gì, giải thích đơn giản

Mỗi lần khách truy cập trên website của bạn nhấp liên kết đến trang khác — liên kết đi ra, biểu ngữ quảng cáo, “chia sẻ cái này”, thậm chí font hoặc ảnh được tải từ nơi khác — trình duyệt của họ lặng lẽ đính kèm ghi chú nói họ đến từ trang nào của bạn. Ghi chú đó được gọi là referrer.

Được dùng hợp lý, referrer vô hại và thậm chí hữu ích: đây là cách các trang khác biết lưu lượng đến từ bạn, và nó cung cấp nhiều analytics trung thực. Vấn đề nằm ở hành vi mặc định. Không được quản lý, trình duyệt không chỉ nói “họ đến từ your-business.com” — nó thường trao địa chỉ đầy đủ của trang chính xác, bao gồm mọi thứ sau tên miền. Và địa chỉ web mang theo nhiều hơn mọi người nhận ra: từ khóa tìm kiếm được gõ vào trang của bạn, số đơn hàng và tài khoản, đường dẫn đến trang chỉ thành viên riêng tư, thậm chí token bí mật một lần trong liên kết đặt lại mật khẩu và xác nhận.

Referrer-Policy là một hướng dẫn duy nhất website của bạn gửi đến trình duyệt nói bao nhiêu ghi chú đó được phép chia sẻ. Bạn có thể nói với nó chỉ chia sẻ tên miền của bạn, chỉ với các trang khác trên chính trang của bạn, hoặc không gì cả. Hãy nghĩ nó như sự khác biệt giữa trao cho người lạ địa chỉ nhà đầy đủ của bạn kèm theo lịch trình hàng ngày, so với chỉ nói với họ bạn sống ở thành phố nào.

Đây là một trong số nhỏ “header bảo mật” — hướng dẫn ngắn mà trang của bạn trao cho trình duyệt của mỗi khách truy cập. Nó không thay đổi cách trang của bạn trông hay hoạt động. Nó đơn giản ngăn trình duyệt chia sẻ quá mức thay mặt bạn.

Điều này có thể khiến bạn mất gì

Đây là những cách cụ thể, hàng ngày mà thiếu hoặc Referrer-Policy cho phép cắn doanh nghiệp thật. Không ai trong số này cần hacker — chúng xảy ra tự động, mỗi ngày, trong sử dụng bình thường.

• Tìm kiếm bị rò rỉ. Khách hàng tìm kiếm thứ gì đó nhạy cảm trên trang của bạn — sản phẩm y tế, dịch vụ liên quan đến nợ, so sánh đối thủ — và từ khóa tìm kiếm hạ cánh trong địa chỉ trang. Sau đó họ nhấp liên kết đi ra hoặc quảng cáo trên trang kết quả đó. Nhà quảng cáo giờ nhận địa chỉ của bạn với từ khóa tìm kiếm trong đó, biết chính xác khách hàng của bạn đang tìm kiếm gì. Bạn không bao giờ đồng ý chia sẻ điều đó, và bạn không thể lấy lại.

• Liên kết đặt lại bị phơi lộ. Nhiều hệ thống đặt token bí mật một lần trong địa chỉ của trang đặt lại mật khẩu, xác nhận email, hoặc “đăng nhập ma thuật”. Nếu trang đó chứa bất kỳ liên kết đi ra hoặc resource bên thứ ba nào, địa chỉ đầy đủ — kể cả token — có thể được trao cho trang bên ngoài. Trong trường hợp xấu nhất điều đó trao cho bên thứ ba chìa khóa đến tài khoản.

• Bản đồ trang bạn cho đi miễn phí. Đường dẫn trang nội bộ của bạn thường tiết lộ cấu trúc của bạn: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Không có header này, mọi trang bên ngoài mà khách truy cập nhấp qua nhận những đường dẫn đó. Đối thủ biết bậc giá và dòng sản phẩm của bạn; scraper biết trang nào để nhắm vào.

• Quan hệ chia sẻ dữ liệu không mong muốn. Luật quyền riêng tư mong bạn biết dữ liệu cá nhân của khách hàng đi đến đâu và có thỏa thuận. Rò rỉ địa chỉ trang chứa ID khách hàng hoặc địa chỉ email cho mạng quảng cáo và công ty analytics — không có thỏa thuận và không có sự đồng ý — chính xác là loại luồng dữ liệu không kiểm soát biến kiểm toán thường quy thành phát hiện, và phát hiện thành vi phạm phải báo cáo.

• Thỏa thuận đình trệ trong thẩm định. Khi nhóm bảo mật của khách hàng lớn hơn xem xét bạn, thiếu header bảo mật tiêu chuẩn là tick-box nhanh, tự động. Thấy Referrer-Policy vắng mặt cho họ biết vệ sinh quyền riêng tư cơ bản chưa bao giờ được thiết lập — và ấn tượng đó tô màu mọi thứ khác trong đánh giá.

Thực ra nó là gì

Theo mặc định, trình duyệt tuân theo hành vi tương đương “strict-origin-when-cross-origin” trên các phiên bản hiện đại — nhưng bạn không thể dựa vào điều đó, vì trình duyệt cũ hơn, webview nhúng, và một số cấu hình nhất định vẫn quay lại rò rỉ nhiều hơn. Cách duy nhất để chắc chắn là đặt chính sách rõ ràng. Khi bạn làm, bạn chọn một quy tắc từ danh sách ngắn. Những cái quan trọng:

• no-referrer — không chia sẻ gì. Trang tiếp theo không được nói gì về việc khách truy cập đến từ đâu. Quyền riêng tư tối đa; có thể giảm analytics referral của bạn.
• same-origin — chia sẻ địa chỉ đầy đủ chỉ khi khách truy cập di chuyển giữa các trang trên chính trang của bạn; không chia sẻ gì với các trang bên ngoài.
• strict-origin-when-cross-origin — mặc định được khuyến nghị. Trong trang của bạn, đường dẫn đầy đủ được chia sẻ; đến các trang bên ngoài, chỉ tên miền bare của bạn được chia sẻ (và không có gì khi đi từ trang an toàn đến trang không an toàn). Các bên bên ngoài biết lưu lượng đến từ bạn, nhưng không bao giờ biết chi tiết riêng tư sau tên miền của bạn.
• origin — luôn chỉ chia sẻ tên miền của bạn, ngay cả trong chính trang của bạn.

Và hai giá trị cần tránh, vì scorecard coi chúng không tốt hơn không có header:

• unsafe-url — chia sẻ địa chỉ đầy đủ với mọi người, luôn luôn. Đây là trường hợp xấu nhất trong một từ.
• no-referrer-when-downgrade — mặc định trình duyệt cũ; nó vẫn gửi địa chỉ đầy đủ đến các trang an toàn khác, rò rỉ mọi thứ được mô tả ở trên.

“Tốt” trông như thế nào: header Referrer-Policy hiện diện và được đặt thành giá trị hạn chế — với hầu hết doanh nghiệp, strict-origin-when-cross-origin. Điều này giữ analytics referral hoạt động trong khi đảm bảo không có gì qua tên miền của bạn bao giờ đến trang bên ngoài.

Cách sửa (miễn phí, khoảng 5 phút)

Chuyển phần này cho người IT, nhà phát triển web, hoặc hỗ trợ hosting của bạn — bản sửa miễn phí, là một dòng duy nhất, và sẽ không làm hỏng trang của bạn. Không có triển khai rủi ro ở đây: không giống một số cài đặt bảo mật, Referrer-Policy hợp lý không thể ngừng hoạt động các liên kết hoặc trang của bạn. Nó chỉ cắt bớt những gì được chia sẻ với các trang khác.

Mục tiêu: đặt response header Referrer-Policy với giá trị strict-origin-when-cross-origin (hoặc giá trị hạn chế hơn nếu bạn muốn chia sẻ ít hơn).

Cloudflare (không có code — dễ nhất nếu bạn dùng nó): Dashboard → tên miền của bạn → Rules → Transform Rules → Modify Response Header → Tạo quy tắc → Đặt static → Tên header Referrer-Policy, giá trị strict-origin-when-cross-origin → áp dụng cho tất cả yêu cầu đến → Deploy.

Google Workspace / Microsoft 365: những thứ này quản lý email của bạn, không phải website, vì vậy header được đặt bất cứ nơi nào trang của bạn thực sự được lưu trữ (web host, CDN, hoặc máy chủ) — không phải trong Workspace hoặc admin 365. Xác định host và dùng tùy chọn phù hợp bên dưới.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (trong cấu hình trang hoặc .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

WordPress / host phổ biến: hầu hết WordPress được quản lý và host chia sẻ để bạn thêm response header qua plugin bảo mật, bảng “headers” trong control panel hosting, hoặc đoạn .htaccess ở trên. Nếu bạn đằng sau Cloudflare, phương pháp Cloudflare là sạch nhất và áp dụng khắp nơi cùng lúc.

Sau khi áp dụng: tải trang của bạn và chạy lại kiểm tra, hoặc dùng browser developer tools (tab Network → nhấp tài liệu chính → Response Headers) để xác nhận Referrer-Policy: strict-origin-when-cross-origin hiện diện.

Các lỗi phổ biến

• Đặt giá trị cho phép và giả sử nó tính. unsafe-url và no-referrer-when-downgrade cả hai vẫn rò rỉ địa chỉ đầy đủ. Scorecard tính điểm chúng bằng không — giống như không có header. Nếu header hiện diện nhưng điểm không có, đây gần như luôn là lý do.
• Chỉ đặt trên trang chủ. Header nên được gửi trên mỗi trang, vì các rò rỉ xảy ra trên trang kết quả tìm kiếm, tài khoản, và đặt lại — không phải trang chủ. Đặt ở cấp máy chủ, CDN, hoặc Cloudflare để nó áp dụng toàn trang tự động.
• Chỉ đặt trong thẻ HTML <meta>. Thẻ <meta name="referrer"> hoạt động trong một số trường hợp nhưng không phải tất cả, và dễ không nhất quán trên các trang. Đặt nó như response header đúng (các phương pháp ở trên) là cách tiếp cận đáng tin.
• Để một lớp ghi đè lớp khác. Nếu cả máy chủ origin và CDN đặt header với các giá trị khác nhau, kết quả có thể không thể đoán trước. Chọn một nơi để quản lý nó — thường là CDN hoặc Cloudflare nếu bạn có — và giữ phần còn lại nhất quán.
• Coi nó như thay thế cho việc giữ dữ liệu ra khỏi URL. Header giới hạn thiệt hại, nhưng thói quen lâu dài sạch sẽ hơn là không đặt bí mật và dữ liệu cá nhân trong địa chỉ web ngay từ đầu. Dùng header ngay bây giờ; nêu vệ sinh URL với nhà phát triển như theo dõi.

Tóm lại

Referrer-Policy là bản sửa quyền riêng tư rẻ nhất, an toàn nhất trên scorecard của bạn: một dòng, khoảng năm phút, không rủi ro làm hỏng gì, và miễn phí. Nó ngăn trình duyệt của khách truy cập lặng lẽ trao địa chỉ trang riêng tư của bạn — và bất cứ dữ liệu cá nhân nào chúng chứa — cho mọi trang bên ngoài họ nhấp qua. Đặt nó thành strict-origin-when-cross-origin, xác nhận nó live trên mỗi trang, và khoảng cách nghiêm trọng trung bình và 15 điểm của nó được đóng lại.

FAQ