Политика Referrer-Policy

Определение Referrer-Policy

Referrer-Policy относится к HTTP-заголовку, который контролирует, сколько информации веб-сайт передает о действиях пользователя при переходе на другую страницу. Заголовок referrer показывает URL предыдущей веб-страницы, которую посетил пользователь, что позволяет принимающему веб-сайту видеть, откуда пришел запрос.

Как работает Referrer-Policy

Когда пользователь нажимает на ссылку для перехода на новую страницу, заголовок referrer автоматически передается вместе с запросом. Это может потенциально раскрыть конфиденциальную информацию, такую как URL предыдущей страницы, владельцу новой страницы.

Заголовок Referrer-Policy позволяет администраторам веб-сайтов указывать, должна ли информация о реферере быть включена, исключена или изменена при переходе пользователя на другую веб-страницу. Это помогает контролировать количество информации, передаваемой внешним веб-сайтам, и может снизить потенциальные риски, связанные с конфиденциальностью и безопасностью.

Советы по предотвращению

• Настройте веб-сервер для установки заголовка HTTP Referrer-Policy, чтобы контролировать количество передаваемой информации о реферере.
• Выберите строгую политику, чтобы ограничить количество данных о реферере, передаваемых внешним сайтам, тем самым снижая риск утечек личной информации.
• Регулярно пересматривайте и обновляйте настройки Referrer-Policy в соответствии с передовыми практиками и рекомендациями по безопасности.

Заголовок Referer

Заголовок referrer, также известный как заголовок Referer, является полем HTTP-заголовка, которое содержит URL предыдущей веб-страницы, с которой была выполнена ссылка. Он автоматически включается в запрос, когда пользователь переходит с одной страницы на другую. Информация о рефералах, предоставляемая заголовком referrer, помогает владельцам веб-сайтов понять источник трафика на их сайт, анализировать поведение пользователей и отслеживать эффективность маркетинговых кампаний.

Однако заголовок referrer вызывает озабоченность в отношении конфиденциальности и безопасности. По умолчанию заголовок referrer раскрывает полный URL предыдущей страницы, включая любые параметры запроса и конфиденциальную информацию. Это может привести к непреднамеренному раскрытию личных или конфиденциальных данных владельцам веб-сайтов или сторонним службам.

Контроль информации о реферере с помощью Referrer-Policy

Для решения проблем, связанных с конфиденциальностью и безопасностью заголовка referrer, был введен заголовок Referrer-Policy. Заголовок Referrer-Policy позволяет администраторам веб-сайтов контролировать количество информации о реферере, передаваемой при переходе пользователя на другую веб-страницу.

Устанавливая заголовок Referrer-Policy, владельцы веб-сайтов могут указать, должна ли информация о реферере быть включена, исключена или изменена. Вот некоторые распространенные директивы Referrer-Policy:

• no-referrer: Заголовок referrer полностью исключен из запроса. Это означает, что информация о реферере не передается на принимающий веб-сайт. Это самая строгая политика, обеспечивающая наивысший уровень конфиденциальности. Однако это может ограничить некоторые законные функции, такие как аналитика и отслеживание кликов.

• no-referrer-when-downgrade: Это политика по умолчанию, если заголовок Referrer-Policy не указан. Он отправляет полную информацию о реферере при переходе на безопасный (HTTPS) сайт, но исключает реферер при переходе на менее защищенный (HTTP) сайт. Это помогает защитить информацию о реферере при переходе с защищенного на незащищенный сайт.

• origin: Отправляется только часть источника URL реферера, которая включает схему, домен и порт, но исключает путь или параметры запроса. Это предоставляет некоторую информацию о источнике запроса без раскрытия полного URL.

• origin-when-cross-origin: Похоже на политику origin, за исключением того, что полный URL реферера отправляется при запросе в пределах одного и того же источника (того же домена). Это помогает с аналитикой и отслеживанием в пределах одного сайта, в то время как информация о реферере защищена при переходе на другие домены.

• strict-origin: Только часть происхождения URL реферера отправляется, независимо от того, является ли это запрос в пределах одного и того же источника или между источниками. Эта политика обеспечивает наибольшую конфиденциальность, исключая путь и параметры запроса.

• strict-origin-when-cross-origin: Похожа на политику strict-origin, за исключением того, что полный URL реферера отправляется при запросе в пределах одного и того же источника (того же домена). Эта политика достигает баланса между конфиденциальностью и функциональностью.