Der Referrer-Policy HTTP-Header steuert, wie viel Referrer-Information (die URL der vorherigen Seite) bei Anfragen mitgesendet wird, wenn ein Nutzer einen Link klickt, ein Bild lädt oder eine Anfrage von deiner Seite an eine andere stellt.
Warum es wichtig ist
Standardmäßig senden Browser die vollständige URL der aktuellen Seite als Referer-Header beim Navigieren zu einer anderen Seite. Dies kann sensible Informationen preisgeben:
- Query-Parameter mit Tokens, Session-IDs oder Suchbegriffen
- Private Seitenpfade (z.B.
/admin/users/edit/123) - Interne URL-Struktur deiner Seite
Gängige Werte
no-referrer— Niemals den Referrer-Header senden.no-referrer-when-downgrade— Volle URL senden, aber nicht bei Navigation von HTTPS zu HTTP. (Browser-Standard.)origin— Nur die Herkunft (Domain) senden, nicht den vollständigen Pfad.strict-origin-when-cross-origin— Volle URL für Same-Origin-Anfragen, nur die Herkunft für Cross-Origin, und nichts bei HTTPS→HTTP-Downgrades. (Empfohlen)
Beispiel
Referrer-Policy: strict-origin-when-cross-originWas InspectWP prüft
InspectWP prüft, ob deine WordPress-Seite einen Referrer-Policy-Header sendet. Ohne diesen verlässt sich deine Seite auf das Standardverhalten des Browsers, das mehr Informationen als nötig mit Drittanbieter-Seiten teilen kann.