Referrer-Policy: Datenlecks über URL-Parameter verhindern

Der Referrer-Header verrät externen Websites Ihre vollständige URL — inklusive sensibler Parameter. Eine Zeile Konfiguration schließt dieses Datenleck.

Referrer-Policy prüfen Plattform entdecken
Web Security · 10 Punkte
Von Wolf-Agents Security Team · Aktualisiert: 26. März 2026
Web Security · Datenschutz

Warum der Referrer-Policy Header geschäftskritisch ist

Der Referrer-Policy HTTP-Header kontrolliert, welche URL-Informationen der Browser bei Navigation an Drittseiten weitergibt — ohne ihn sendet der Browser die vollständige URL inklusive sensibler Query-Parameter. Session-Tokens, Benutzernamen und interne Pfadstrukturen werden so automatisch an jeden externen Server übermittelt, der eine Ressource ausliefert. Der Wolf-Agents Web Security Scanner prüft Ihre Referrer-Policy als Teil der 166 Prüfpunkte und bewertet sie mit 10 Punkten im Bereich Datenschutz-Header.

Das ist kein theoretisches Risiko: 2015 leitete Healthcare.gov sensible Gesundheitsdaten über Referrer-Header an Werbenetzwerke weiter (Quelle: Associated Press, Januar 2015). Im Wolf-Agents Web Security Check wird die Referrer-Policy als Teil der 166 Prüfpunkte bewertet — mit 10 Punkten im Bereich Datenschutz-Header.

77,2 % der Websites weisen Referrer-Policy-Umgehungen auf — verursacht durch Third-Party-Scripts wie Google Analytics und Facebook Pixel Radboud University, PoPETs 2025
DSGVO Art. 5 Datenminimierung: Fehlende Referrer-Policy ist ein dokumentierbarer Mangel — Bußgelder bis 4 % des Jahresumsatzes DSGVO Art. 5(1)(c) + Art. 83(5)
1 Zeile Konfiguration — der schnellste Datenschutz-Gewinn für jede Webanwendung, in 5 Minuten implementiert Implementierungsaufwand
Kernkonzept

Was der Referrer verrät — und wie Sie es kontrollieren

Wenn ein Nutzer von Ihrer Seite auf einen externen Link klickt, sendet der Browser automatisch einen Referer-Header mit der vollständigen URL der vorherigen Seite. Ohne Referrer-Policy sieht die Zielseite alles: Pfad, Query-Parameter und potenziell sensible Daten. Der Referrer-Policy Header gibt Ihnen die Kontrolle zurück.

Die 8 Policy-Werte im Überblick

Policy Same-Origin Cross-Origin Downgrade
no-referrer Nichts Nichts Nichts
strict-origin-when-cross-origin Volle URL Nur Origin Nichts
strict-origin Nur Origin Nur Origin Nichts
origin Nur Origin Nur Origin Nur Origin
same-origin Volle URL Nichts Nichts
no-referrer-when-downgrade Volle URL Volle URL Nichts
origin-when-cross-origin Volle URL Nur Origin Nur Origin
unsafe-url Volle URL Volle URL Volle URL
HTTP-Header Empfehlung 
# Empfohlen: Schutz + Analytics-Kompatibilität
Referrer-Policy: strict-origin-when-cross-origin

# Maximaler Datenschutz (kein Referrer)
Referrer-Policy: no-referrer

# Mit Fallback für ältere Browser
Referrer-Policy: no-referrer, strict-origin-when-cross-origin
Angriffsszenario

Token-Diebstahl über den Referrer-Header

Dieses Szenario erfordert keinen aktiven Angriff — das Datenleck passiert automatisch bei jeder Seitenladung mit externen Ressourcen. Ein Passwort-Reset-Token in der URL wird über den Referrer-Header an einen Analytics-Server weitergegeben.

Angriffsverlauf Datenleck 
# Schritt 1: Nutzer erhält Passwort-Reset-Link
https://app.example.com/reset?token=a8f3b2c9d4e5

# Schritt 2: Reset-Seite lädt externes Analytics-Script
<script src="https://analytics.tracker.com/track.js"></script>

# Schritt 3: Browser sendet automatisch den Referrer
Referer: https://app.example.com/reset?token=a8f3b2c9d4e5

# → Analytics-Server sieht das Token im Klartext!
Ohne Referrer-Policy: Analytics-Server sieht Token + Benutzername. Angreifer kann Passwort zurücksetzen.
Mit strict-origin-when-cross-origin: Analytics-Server sieht nur https://app.example.com — kein Pfad, keine Parameter.
Implementierung

Drei Wege zur Referrer-Policy

Die bevorzugte Methode ist der HTTP-Header — er wird serverseitig gesetzt und ist nicht manipulierbar. Als Fallback eignet sich das Meta-Tag, und für Sonderfälle können Sie die Policy pro Element überschreiben.

HTML / JavaScript 3 Ebenen 
<!-- Fallback wenn kein Server-Zugriff -->
<meta name="referrer" content="strict-origin-when-cross-origin">

<!-- Pro Element überschreiben -->
<a href="https://partner.com"
   referrerpolicy="origin">Partner-Link</a>

<!-- Sensible API-Calls ohne Referrer -->
fetch('https://api.example.com/user', {
  referrerPolicy: 'no-referrer'
});

Prioritätsreihenfolge

1
Element-Attribut

Höchste Priorität für den einzelnen Request. Überschreibt Header und Meta-Tag.

2
HTTP-Header

Empfohlen als Default. Serverseitig, nicht manipulierbar, gilt für alle Requests.

3
Meta-Tag

Fallback wenn kein Server-Zugriff. Gilt nur wenn kein Header gesetzt.

Compliance

Referrer-Policy und regulatorische Anforderungen

Die Referrer-Policy ist ein direkter Baustein für DSGVO-Datenminimierung. Ohne sie gibt Ihre Website bei jedem externen Link personenbezogene Daten weiter — ein dokumentierbarer Verstoß gegen Art. 5(1)(c).

DSGVO Art. 5(1)(c)

Datenminimierung: Nur die für den Zweck erforderlichen Daten dürfen verarbeitet werden. Referrer-URLs mit Benutzerdaten an Dritte weiterzugeben verstößt gegen diesen Grundsatz.

NIS2 / §30 BSIG

Sicherheitskonzepte nach Kategorie (a): Kontrolle über Informationsabfluss an Dritte. Die Referrer-Policy dokumentiert eine bewusste Sicherheitsentscheidung.

BSI IT-Grundschutz

APP.3.1.A21 empfiehlt technische Datenschutzmaßnahmen für Webanwendungen. Die Referrer-Policy ist ein prüfbarer Nachweis.

PCI DSS 4.0.1

Req. 6.2.4 fordert sichere Softwareentwicklung. Referrer-Policy verhindert die unbeabsichtigte Weitergabe sensibler URL-Parameter an Dritte — ein prüfbarer Nachweis für Defense-in-Depth bei Payment-Seiten.

Referrer-Policy für Ihren Stack konfigurieren:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyDemnächst

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Was ist der Referrer-Policy Header?

Der Referrer-Policy HTTP-Header kontrolliert, welche Referrer-Informationen der Browser bei Navigation und Ressourcen-Anfragen an Drittseiten weitergibt. Ohne diesen Header sendet der Browser die vollständige URL der vorherigen Seite — inklusive Query-Parameter mit potenziell sensiblen Daten wie Session-Tokens oder Benutzernamen.

Welchen Referrer-Policy Wert soll ich verwenden?

strict-origin-when-cross-origin ist der empfohlene Wert für die meisten Websites. Er sendet den vollen Referrer bei Same-Origin-Anfragen (gut für Analytics), nur die Domain bei Cross-Origin-Anfragen (schützt URL-Pfade und Parameter) und nichts bei HTTPS-zu-HTTP-Downgrades.

Beeinflusst Referrer-Policy Google Analytics?

Nein. Google Analytics ist ein Same-Origin-Script (es wird von Ihrer Domain geladen). Bei strict-origin-when-cross-origin erhalten Same-Origin-Anfragen den vollen Referrer. UTM-Parameter stehen zudem in der Ziel-URL, nicht im Referrer-Header, und werden daher nicht beeinflusst.

Ist Referrer-Policy DSGVO-relevant?

Ja. DSGVO Art. 5(1)(c) fordert Datenminimierung, Art. 32 technische Schutzmaßnahmen. Wenn URL-Parameter personenbezogene Daten enthalten (z.B. Benutzernamen, E-Mail-Adressen), ist eine fehlende Referrer-Policy ein dokumentierbarer Mangel. Bei Verstößen drohen Bußgelder bis 4% des Jahresumsatzes.

Was ist der Unterschied zwischen no-referrer und strict-origin-when-cross-origin?

no-referrer sendet nie einen Referrer — maximaler Datenschutz, aber Analytics und Affiliate-Tracking funktionieren nicht mehr. strict-origin-when-cross-origin sendet bei Same-Origin den vollen Referrer (Analytics funktioniert) und bei Cross-Origin nur die Domain (Parameter geschützt). Für die meisten Websites ist der Kompromiss besser.

Können Browser die Referrer-Policy überschreiben?

Ja. Firefox und Safari überschreiben unsichere Policies (unsafe-url, no-referrer-when-downgrade) automatisch mit strict-origin-when-cross-origin für Cross-Site-Requests. Trotzdem sollten Sie den Header explizit setzen — er dokumentiert Ihre bewusste Sicherheitsentscheidung für Audits und schützt Nutzer älterer Browser.