Referrer Policy: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
Zeile 24: Zeile 24:
 
<pre><meta name="referrer" content="no-referrer" /></pre>
 
<pre><meta name="referrer" content="no-referrer" /></pre>
  
'''Anweisung:''' Der Wert `'''no-referrer'''` weist den Browser an, '''niemals''' Referrer-Header zu senden, die von Ihrer Site gestellt werden. Dazu gehören auch Links zu Seiten auf Ihrer eigenen Site.
+
'''Anweisung:''' Der Wert `'''no-referrer'''` weist den Browser an, '''niemals''' ''Referer Header'' zu senden, die von Ihrer Site gestellt werden. Dazu gehören auch Links zu Seiten auf Ihrer eigenen Site.
  
 
<br />
 
<br />
Zeile 33: Zeile 33:
 
<br />
 
<br />
  
Der Wert `'''same-origin'''` weist den Browser an, nur Referrer-Header zu senden, die von Ihrer Site gestellt werden. Wenn das Ziel eine andere [[Domain]] ist, werden keine Referrer-Informationen gesendet.
+
Der Wert `'''same-origin'''` weist den Browser an, nur ''Referer Header'' zu senden, die von Ihrer Site gestellt werden. Wenn das Ziel eine andere [[Domain]] ist, werden keine Referrer-Informationen gesendet.
  
 
Der Wert `'''strict-origin'''` weist den Browser an, als Referrer immer die Ursprungs-Domain anzugeben.
 
Der Wert `'''strict-origin'''` weist den Browser an, als Referrer immer die Ursprungs-Domain anzugeben.

Version vom 19. Februar 2019, 10:20 Uhr

Referrer Policy

Der Begriff 'Referrer' im Zusammenhang mit dem Internet bezeichnet jene Webseite, von welcher der Besucher einer Seite gekommen ist. Der Referrer ist also die im Logfile ersichtliche, zuvor besuchte URL. Entsprechende Informationen werden über den HTTP-Header abgefragt und weitergegeben und in einem Logfile gespeichert. Eine detaillierte Beschreibung des Begriffes finden Sie bei Wikipedia unter Referrer.

Mit dem Eintrag Referrer Policy im Header wird geregelt, welche der Referrer-Informationen, die im Referer Header gesendet wurden, in Anfragen aufgenommen werden sollen und welche nicht. Es gibt sehr viele verschiedene Optionen, die gesetzt werden können. Neben Firefox unterstützen Chrome und Opera bereits einige Optionen dieses Header-Eintrages. Aktuell handelt es sich bei diesen Header-Einträgen um einen Empfehlungskandidaten des W3C vom 26.01.2017. In dem zuvor verlinkten Dokument werden die einzelnen Möglichkeiten genau beschrieben.

Anmerkung zur Schreibweise: Die korrekte englische Schreibweise lautet Referrer. Der ursprüngliche RFC (RFC 2068) enthielt jedoch versehentlich die falsche Schreibweise Referer und erhebt diesen Wortlaut damit zum Standard innerhalb von HTTP. In anderen Standards wie im DOM wird die korrekte Schreibweise verwendet.


Eine gut gesetzte Referrer Policy schützt die Privatsphäre Ihrer Webseiten-Besucher, hat aber keinen direkten Einfluss auf die Sicherheit Ihrer Webseite.



Beispiele

Referrer Policy Definition durch Server Header:

# Referrer Policy
Header set Referrer-Policy "no-referrer"

Referrer Policy Definition durch HTML-Code:

<meta name="referrer" content="no-referrer" />

Anweisung: Der Wert `no-referrer` weist den Browser an, niemals Referer Header zu senden, die von Ihrer Site gestellt werden. Dazu gehören auch Links zu Seiten auf Ihrer eigenen Site.


Weitere nützliche Anweisungen können `same-origin`, `strict-origin` oder `origin-when-cross-origin` sein.


Der Wert `same-origin` weist den Browser an, nur Referer Header zu senden, die von Ihrer Site gestellt werden. Wenn das Ziel eine andere Domain ist, werden keine Referrer-Informationen gesendet.

Der Wert `strict-origin` weist den Browser an, als Referrer immer die Ursprungs-Domain anzugeben.

Der Wert `origin-when-cross-origin` weist den Browser an, nur dann die vollständige Referrer-URL zu senden, wenn Sie auf der selben Domain bleiben. Sobald die Domain über HTTPS verlassen wird oder eine anderer Domain angesprochen wird, wird nur die Quell-Domain gesendet.

Detaillierte Informationen und Beispiele (English) finden Sie bei Scott Helme.