Referrer-Policy
Was ist Referrer-Policy?
Referrer-PolicyHTTP-Antwortheader (oder Meta-Tag), der steuert, wie viel der Ursprungs-URL der Browser im Referer-Header ausgehender Anfragen ubermittelt.
Mit Referrer-Policy kann eine Site begrenzen, welche Informationen beim Klick auf Links, beim Laden von Subressourcen oder bei Navigation im Referer-Header preisgegeben werden. Ohne Einschrankung fliessen vollstandige URLs (inklusive Tokens, IDs oder personenbezogener Daten in Query-Parametern) an Drittanbieter, Analyse- und Werbe-Server. Werte reichen von no-referrer uber strict-origin-when-cross-origin bis unsafe-url. Standard in Chromium und Firefox ist derzeit strict-origin-when-cross-origin. Eine explizite, restriktive Policy ist eine kostengunstige Datenschutz- und Anti-Leak-Massnahme.
● Beispiele
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
Verhindern, dass Session-Tokens uber den Referer-Header an eingebettete Werbeskripte gelangen.
● Häufige Fragen
Was ist Referrer-Policy?
HTTP-Antwortheader (oder Meta-Tag), der steuert, wie viel der Ursprungs-URL der Browser im Referer-Header ausgehender Anfragen ubermittelt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Referrer-Policy?
HTTP-Antwortheader (oder Meta-Tag), der steuert, wie viel der Ursprungs-URL der Browser im Referer-Header ausgehender Anfragen ubermittelt.
Wie funktioniert Referrer-Policy?
Mit Referrer-Policy kann eine Site begrenzen, welche Informationen beim Klick auf Links, beim Laden von Subressourcen oder bei Navigation im Referer-Header preisgegeben werden. Ohne Einschrankung fliessen vollstandige URLs (inklusive Tokens, IDs oder personenbezogener Daten in Query-Parametern) an Drittanbieter, Analyse- und Werbe-Server. Werte reichen von no-referrer uber strict-origin-when-cross-origin bis unsafe-url. Standard in Chromium und Firefox ist derzeit strict-origin-when-cross-origin. Eine explizite, restriktive Policy ist eine kostengunstige Datenschutz- und Anti-Leak-Massnahme.
Wie schützt man sich gegen Referrer-Policy?
Schutzmaßnahmen gegen Referrer-Policy kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- appsec№ 496
HTTP-Sicherheitsheader
Antwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle.
- appsec№ 214
Content Security Policy (CSP)
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
- appsec№ 960
Same-Origin Policy (SOP)
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
- appsec№ 223
CORS (Cross-Origin Resource Sharing)
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
- appsec№ 983
Secure-Cookie-Flag
Cookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
- appsec№ 961
SameSite-Cookie
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.