Home » Security Headers » Die Referrer-Policy schützt vertrauliche Daten

HTTP Referrer-Policy

HTTP Referrer-Policy zum Schutz persönlicher Informationen

HTTP Referrer-Policy

Implementierung der Referrer-Header

Die Implementierung des Referrer-Header ist relativ einfach und erfordert nur das Hinzufügen eines speziellen Headers zu den HTTP-Antworten Ihrer Website.

Referrer-Policy mit dem <meta>-Element

Eine Referrer-Policy kann leicht mit einem <meta>-Element in Ihrem HTML festgelegt werden. Fügen Sie dieses <meta>-Element einfach im <head>-Abschnitt ein oder in der functions.php den Header mit der Referrer-Policy.

HTML


<meta name="referrer" content="no-referrer, same-origin">

Hier ist ein Beispiel für das Code-Snippet, das Sie in Ihre WordPress-Konfigurationsdatei functions.php einfügen können:

PHP

header("Referrer-Policy: strict-origin");

Hier ist ein Beispiel für das Code-Snippet, das Sie in die Konfigurationsdatei Ihres Apache Webservers .htaccess einfügen können:

.htaccess

<IfModule mod_headers.c>
  Header always set Referrer-Policy "same-origin"
</IfModule>

Wenn eine Referrer-Policy sowohl über den Referrer-Policy-Header als auch über das Meta-Element bereitgestellt wird, hat die Richtlinie des Meta-Elements Vorrang.

Wir empfehlen „no-referrer“ oder „same-origin“, das den Referrer für Anfragen von Drittanbietern deaktiviert und Anfragen zum selben Ursprung weiterleitet.

Was genau ist die HTTP-Referrer-Policy?

Die HTTP Referrer-Policy ist ein Sicherheitsfeature, das steuert, wie viele Informationen mit dem Referrer-Header in einer HTTP-Anfrage gesendet werden, nachdem Sie auf einen Hyperlink zu dieser Site geklickt haben.

Der Referrer-Header enthält Informationen über die URL der ursprünglichen Website, von der aus der Benutzer zu einer neuen Seite gelangt ist. Ohne den Einsatz der HTTP Referrer-Policy könnten gefährliche Informationen wie vertrauliche Daten oder persönliche Identifikatoren übertragen werden, was Sicherheitslücken schaffen kann.

Mittels der Referrer-Policy ist es ohne großen Aufwand möglich, Sicherheit und Datenschutz Ihrer Webanwendung zu verbessern.

Die Referrer-Policy schützt vor folgenden Angriffen

  • Session-Entführung verhindern: Wenn ein Benutzer auf einen Link klickt, sendet der Browser normalerweise den Referrer-Header an den Zielserver. Durch die no-referrer-Richtlinie wird der Referrer-Header jedoch weggelassen, wodurch das Risiko von Session-Entführungen reduziert wird.
  • Website-Defacement vermeiden: Angreifer könnten versuchen, Ihre Website zu manipulieren, indem sie Links mit schädlichem Code platzieren. Mit der strict-origin-Richtlinie wird der Referrer-Header nur bei sicheren Zielen (HTTPS→HTTPS) gesendet, wodurch die Integrität Ihrer Website besser geschützt wird.
  • Phishing-Angriffe abwehren: Bei Phishing-Angriffen versuchen Angreifer, Benutzer auf gefälschte Websites umzuleiten. Die origin-Richtlinie sendet nur den Ursprung (z. B. https://example.com/) und nicht den vollständigen Pfad, wodurch die Weitergabe sensibler Informationen eingeschränkt wird.
  • Browser-Kontrolle verhindern: Die unsafe-url-Richtlinie sendet den Referrer-Header unabhängig von der Sicherheit. Diese Option sollte jedoch vorsichtig verwendet werden, da sie potenziell private Informationen von HTTPS-URLs an unsichere Ziele preisgeben kann.

Warum kann die Referrer-Information gefährlich sein?

Der Referrer-Header ist ein Datenschutz-Albtraum, da er Websites und Diensten ermöglicht, Informationen über Ihr Surfverhalten und möglicherweise private, sensible Informationen zu sammeln, insbesondere in Kombination mit Cookies.

Wenn Sie auf einen Link klicken, sendet Ihr Browser den HTTP-Referrer-Header an den Webserver, auf dem sich die Zielwebseite befindet. Der Header enthält die vollständige URL der Seite, von der Sie gekommen sind.

Durch Festlegen einer Referrer-Policy können Websites Browsern mitteilen, keine ungewünschten Referrer-Informationen preiszugeben. Die Referrer-Policy ermöglicht es Ihnen, eine Richtlinie festzulegen, die auf alle Anfragen angewendet wird.

Funktionsweise der HTTP Referrer-Policy

Die HTTP Referrer-Policy ermöglicht es Ihnen, festzulegen, welche Informationen im Referrer-Header weitergegeben werden. Dies ist besonders wichtig, um sensible Daten zu schützen und die Privatsphäre der Benutzer zu wahren. Es gibt verschiedene Einstellungen, die Sie verwenden können, um zu steuern, welche Informationen gesendet werden:

  1. no-referrer: Der Referrer-Header wird vollständig entfernt.
  2. no-referrer-when-downgrade: Der Referrer-Header wird nur gesendet, wenn die Anfrage über eine sichere Verbindung (HTTPS) erfolgt.
  3. origin: Nur die Ursprungs-URL (Domain) wird gesendet, ohne den Pfad.
  4. strict-origin: Nur die Ursprungs-URL wird gesendet und nur, wenn die Anfrage über HTTPS erfolgt.
  5. origin-when-cross-origin: Für gleiche Herkunft wird die vollständige URL gesendet, für fremde Ursprünge nur die Domain.
  6. strict-origin-when-cross-origin: Vollständige URL für gleiche Herkunft und nur die Domain für fremde Ursprünge, nur über HTTPS.
  7. unsafe-url: Die vollständige URL wird immer gesendet, was unsicher ist.

Vertraute Informationen schützen mit der Referrer-Policy

Ohne eine HTTP Referrer-Policy könnten potenziell sensible Daten wie Sitzungs-IDs, Benutzerinformationen oder andere vertrauliche Informationen übertragen werden. Diese Daten könnten von Angreifern abgefangen und für schädliche Zwecke verwendet werden, wie etwa Identitätsdiebstahl, Sitzungsentführung oder gezielte Phishing-Angriffe.

Warum sollten Webseitenbetreiber die Referrer-Policy einsetzen

Webseitenbetreiber, die keine HTTP Referrer-Policy implementieren, setzen sich und ihre Besucher einem höheren Risiko aus. Sensible Informationen könnten unbeabsichtigt preisgegeben werden, was zu Datenschutzverletzungen und möglichen rechtlichen Konsequenzen führen kann. Darüber hinaus könnten Angreifer diese Informationen nutzen, um gezielte Angriffe auf Benutzer oder die Website selbst durchzuführen.

War dieser Artikel hilfreich?

1
0

Häufig gestellte Fragen zur Referrer-Policy:

Ohne eine Referrer-Policy könnten Informationen wie Sitzungs-IDs, Benutzerinformationen und andere vertrauliche Daten übertragen werden.

Ohne eine Referrer-Policy könnten Informationen wie Sitzungs-IDs, Benutzerinformationen und andere vertrauliche Daten übertragen werden.

Die Einstellung no-referrer ist die sicherste, da sie verhindert, dass der Referrer-Header überhaupt gesendet wird.

Die Einstellung no-referrer ist die sicherste, da sie verhindert, dass der Referrer-Header überhaupt gesendet wird.

Wenn Sie keine HTTP Referrer-Policy verwenden, setzen Sie sich und Ihre Benutzer einem höheren Risiko aus, dass sensible Informationen unbeabsichtigt preisgegeben werden.

Der Referrer ist die URL der Website, von der ein Benutzer durch einen Hyperlink zu einer neuen Seite gelangt ist. Wenn ein Benutzer auf einen Link klickt, wird diese Information als Teil des HTTP-Headers an die neue Website gesendet.

Der Referrer ist die URL der Website, von der ein Benutzer durch einen Hyperlink zu einer neuen Seite gelangt ist. Wenn ein Benutzer auf einen Link klickt, wird diese Information als Teil des HTTP-Headers an die neue Website gesendet. Der Referrer-Header kann somit Informationen über die vorherige Seite enthalten, die den Benutzer auf die aktuelle Seite geführt hat. Diese Information wird oft für Webanalyse und Tracking-Zwecke verwendet, um zu verstehen, von welchen Quellen der Verkehr auf eine Website kommt.

Sie können eine HTTP Referrer-Policy implementieren, indem Sie den entsprechenden Header in Ihre Serverkonfiguration oder Ihre HTML-Seiten einfügen.

Sie können eine HTTP Referrer-Policy implementieren, indem Sie den entsprechenden Header in Ihre Serverkonfiguration oder Ihre HTML-Seiten einfügen.

Eine HTTP Referrer-Policy schützt Ihre Benutzer und Ihre Website, indem sie verhindert, dass sensible Informationen über den Referrer-Header preisgegeben werden.

GetSafe 360° Box

360° Website SecurityRundum-Absicherung

HTTP-Sicherheits-Header
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
Ausführung i.d.R. innerhalb von 24 Std.
100% Geld-zurück-Garantie
Keine monatlichen Kosten

Wir schützen, was Ihnen wichtig ist.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 245,- € jetzt zum Vorzugspreis von nur 195,- €

Jetzt Starten »