Referrer-Policy für AWS CloudFront konfigurieren

Referrer-Informationen per Response Headers Policy kontrollieren — mit strict-origin-when-cross-origin als empfohlenem Standard.

Headers prüfen Plattform entdecken
AWS CloudFront · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Referrer-Policy auf AWS CloudFront

Die Referrer-Policy kontrolliert, welche Referrer-Informationen bei Navigationen und Requests mitgesendet werden. So schützen Sie sensible URL-Parameter und interne Pfade vor Dritten. Referrer-Policy ist mit 10 von 166 Punkten ein Faktor im Wolf-Agents Web Security Check.

CloudFront bietet einen dedizierten referrer_policy-Block in der Response Headers Policy. Die AWS-Managed SecurityHeadersPolicy setzt strict-origin-when-cross-origin — das ist der empfohlene Wert und ein guter Standard für die meisten Websites.

Ausführliche Einführung in Referrer-Policy

1 Schritt 1 von 3

Referrer-Policy per Terraform setzen

Die Response Headers Policy bietet einen dedizierten referrer_policy-Block. Der empfohlene Wert strict-origin-when-cross-origin sendet den vollen Referrer bei Same-Origin und nur die Origin bei Cross-Origin.

terraform/referrer-policy.tf Terraform 
# terraform/referrer-policy.tf
resource "aws_cloudfront_response_headers_policy" "referrer" {
  name = "referrer-policy"

  security_headers_config {
    referrer_policy {
      referrer_policy = "strict-origin-when-cross-origin"
      override        = true
    }
  }
}

# Alternative Werte:
# "no-referrer"           — sendet keinen Referrer (maximal restriktiv)
# "same-origin"           — Referrer nur bei Same-Origin-Requests
# "strict-origin"         — nur Origin, kein Pfad/Query
# "no-referrer-when-downgrade" — Standard ohne Header
2 Schritt 2 von 3

Konfiguration über die AWS Console

Im CloudFront Dashboard finden Sie Referrer-Policy unter Security Headers in der Response Headers Policy. Wählen Sie den empfohlenen Wert aus dem Dropdown.

AWS Console Dashboard 
# AWS Console — Schritt für Schritt:
# 1. CloudFront → Distributions → [ID] → Behaviors → Edit
# 2. Response Headers Policy → Create/Edit Custom Policy
# 3. Security Headers → Referrer-Policy:
#    - Enabled: Yes
#    - Value: strict-origin-when-cross-origin
#    - Override Origin: Yes
# 4. Save Changes
3 Schritt 3 von 3

Verifizierung

Prüfen Sie den Referrer-Policy-Header per curl. Der Wert sollte exakt mit der Terraform-Konfiguration übereinstimmen.

Terminal Verifizieren 
# Referrer-Policy prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy

# Erwartete Ausgabe:
referrer-policy: strict-origin-when-cross-origin

Häufige Fehler

unsafe-url versehentlich gewählt

unsafe-url sendet den kompletten Referrer inklusive Pfad und Query-String an alle Ziele — sensible URL-Parameter werden offengelegt. Nutzen Sie strict-origin-when-cross-origin.

no-referrer bricht Analytics

no-referrer sendet keinen Referrer. Analytics-Tools können die Traffic-Quelle nicht mehr zuordnen. Für die meisten Websites ist strict-origin-when-cross-origin der beste Kompromiss.

Origin sendet anderen Referrer-Policy-Wert

Wenn Ihr Origin einen anderen Wert setzt und die Policy override = false hat, wird der Origin-Wert durchgelassen. Setzen Sie override = true für konsistentes Verhalten.

Compliance-Relevanz

DSGVO fordert Datenminimierung — Referrer-Policy reduziert die Weitergabe personenbezogener Daten in URLs. BSI IT-Grundschutz empfiehlt die Kontrolle von Referrer-Informationen. OWASP empfiehlt strict-origin-when-cross-origin als Standard. Der Wolf-Agents Web Security Check prüft Referrer-Policy auf empfohlene Werte.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtDemnächstVercelDemnächstLiteSpeedDemnächst

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo