Knowledge Base

Referrer-Policy: контроль утечки URL

Что такое Referer

Категория: HTTP · Риск: low

Что такое Referer

При клике на ссылку браузер отправляет заголовок `Referer` на новый сайт — URL страницы, с которой пришёл пользователь. Если URL содержит чувствительные данные (токены, ID, email), это утечка.

Значения Referrer-Policy

| Значение | Что отправляется | |----------|-----------------| | `no-referrer` | Ничего | | `origin` | Только домен (без пути) | | `strict-origin` | Только домен, только для HTTPS→HTTPS | | `strict-origin-when-cross-origin` | Полный URL — тому же домену; origin — другим (рекомендуется) | | `same-origin` | Полный URL — только тому же домену | | `unsafe-url` | Полный URL всегда (опасно) |

Рекомендуемая настройка

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Это даёт аналитику (Referer для своего домена) и безопасность (только origin для внешних).

Meta-тег для отдельных страниц

<meta name="referrer" content="strict-origin-when-cross-origin">