Referrer-Policy
Die Referrer-Policy ist ein HTTP-Header, der steuert, welche Informationen über die Herkunftsseite (Referrer) an die Zielseite übermittelt werden, wenn ein Besucher einem Link folgt. Ohne Einschränkung überträgt der Browser die vollständige URL — einschließlich möglicher Suchbegriffe, Nutzer-IDs oder Session-Tokens.
Wichtige Werte
no-referrer— Kein Referrer wird übertragen (maximaler Schutz)strict-origin-when-cross-origin— Bei externen Links nur die Domain (nicht den Pfad), bei internen Links die vollständige URL. Empfohlen als Standard.same-origin— Referrer nur bei internen Linksno-referrer-when-downgrade— Browser-Standard: vollständiger Referrer, außer bei HTTPS→HTTP
Datenschutzrelevanz
URLs können personenbezogene Daten enthalten — etwa Benutzernamen in URLs, Suchbegriffe oder Tracking-Parameter. Ohne Referrer-Policy werden diese Informationen an jeden externen Link-Empfänger weitergegeben. Nach DSGVO Art. 5 Abs. 1 lit. c (Datenminimierung) sollte die Weitergabe auf das nötige Minimum beschränkt werden.
Was prüft exatics?
Unser Audit prüft, ob eine Referrer-Policy gesetzt ist und ob sie ausreichend restriktiv konfiguriert ist. unsafe-url oder eine fehlende Policy wird als Schwachstelle bewertet.
Häufige Fragen zu Referrer-Policy
Welche Referrer-Policy sollte ich verwenden?
Für die meisten Websites ist strict-origin-when-cross-origin die beste Wahl. Sie überträgt bei externen Links nur die Domain (Datenschutz), bei internen Links die vollständige URL (Analytics funktioniert weiter). Seit 2021 ist dies auch der Browser-Standard in Chrome und Firefox.