Referrer-Policy/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung der Referrer Policy

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv Referrer Policy sicher
Ergebnis negativ Referrer Policy unsicher
Beschreibung Eine gut gesetzte Referrer Policy schützt die Privatsphäre Ihrer Webseiten-Besucher, hat aber keinen direkten Einfluss auf die Sicherheit Ihrer Webseite.
Hintergrund Eine gut gesetzte Referrer Policy schützt die Privatsphäre Ihrer Webseiten-Besucher.
Auswirkung Eine fehlende oder falsch gesetzte Referrer Policy ermöglicht unerwünschten benutzeridentifizierenden Informationensabfluss.
Lösung/Tipps Mit dem Eintrag Referrer Policy im Header wird geregelt, welche der Referrer-Informationen, die im Referer Header gesendet wurden, in Anfragen aufgenommen werden sollen und welche nicht. Es gibt sehr viele verschiedene Optionen, die gesetzt werden können. Neben Firefox unterstützen Chrome und Opera bereits einige Optionen dieses Header-Eintrages. Aktuell handelt es sich bei diesen Header-Einträgen um einen Empfehlungskandidaten des W3C vom 26.01.2017. In dem zuvor verlinkten Dokument werden die einzelnen Möglichkeiten genau beschrieben.

Anmerkung zur Schreibweise: Die korrekte englische Schreibweise lautet Referrer. Der ursprüngliche RFC (RFC 2068) enthielt jedoch versehentlich die falsche Schreibweise Referer und erhebt diesen Wortlaut damit zum Standard innerhalb von HTTP. In anderen Standards wie im DOM wird die korrekte Schreibweise verwendet. Der Webbrowser setzt, wenn ein Referrer gesetzt ist, einen eigenen Header ein, der heißt dann z. B. `Referer: google.com`. Dort ist dann Referrer falsch geschrieben, aber laut Standard richtig.

Wir empfehlen die Einstellung des Referrer Policy Headers so restriktiv wie möglich zu gestalten, also z. B. "no-referrer" zu setzen.

Beispiele

Referrer Policy Definition durch Server Header:

# Referrer Policy
Header set Referrer-Policy "no-referrer"

Referrer Policy Definition durch HTML-Code:

<meta name="referrer" content="no-referrer" />

Anweisung: Der Wert `no-referrer` weist den Browser an, niemals Referer Header zu senden, die von Ihrer Site gestellt werden. Dazu gehören auch Links zu Seiten Ihrer eigenen Webseite.

Weitere nützliche Anweisungen können `same-origin`, `strict-origin` oder `origin-when-cross-origin` sein.

Der Wert `same-origin` weist den Browser an, nur Referer Header zu senden, die von Ihrer Webseite gestellt werden. Wenn das Ziel eine andere Domain ist, werden keine Referrer-Informationen gesendet.

Der Wert `strict-origin` weist den Browser an, als Referer Header immer die Ursprungs-Domain anzugeben.

Der Wert `origin-when-cross-origin` weist den Browser an, nur dann die vollständige Referrer-URL zu senden, wenn Sie auf der selben Domain bleiben. Sobald die Domain über HTTPS verlassen wird oder eine anderer Domain angesprochen wird, wird nur die Quell-Domain gesendet.

Detaillierte Informationen und Beispiele (English) finden Sie bei Scott Helme.