Referrer-Policy für Bunny CDN konfigurieren

Referrer-Informationen per Edge Rule kontrollieren — von strict-origin-when-cross-origin bis no-referrer für maximalen Datenschutz.

Referrer-Policy prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

Referrer-Policy auf Bunny CDN

Die Referrer-Policy steuert, welche Referrer-Informationen der Browser bei Navigation und Ressourcen-Anfragen mitsendet. Mit 10 von 166 Punkten ist sie ein relevanter Faktor im Wolf-Agents Web Security Check. Auf Bunny CDN setzen Sie die Referrer-Policy per Edge Rule — der Header wird bei jedem Request angewendet, unabhängig vom Cache-Status.

Ohne explizite Referrer-Policy verwenden Browser den Standard strict-origin-when-cross-origin. Das ist bereits ein guter Ausgangspunkt, doch ein explizit gesetzter Header dokumentiert die Datenschutz-Entscheidung und verhindert, dass veraltete Browser den vollen URL-Pfad an Drittanbieter leaken. Wolf-Agents empfiehlt strict-origin-when-cross-origin als Standard und no-referrer für besonders datenschutzsensible Anwendungen.

Ausführliche Einführung in Referrer-Policy

1 Schritt 1 von 3

Referrer-Policy per Edge Rule setzen

Legen Sie eine Edge Rule für den Referrer-Policy Header an. Die Condition Match All stellt sicher, dass der Header bei jeder Response gesetzt wird — für HTML-Seiten ebenso wie für Assets. Bei Assets ist der Header zwar nicht sicherheitsrelevant, schadet aber nicht und vereinfacht die Konfiguration.

Bunny Dashboard → Edge Rules Dashboard 
# Bunny Dashboard → Pull Zone → Edge Rules → Add Edge Rule

Condition:    Match All
Action:       Set Response Header
Header Name:  Referrer-Policy
Header Value: strict-origin-when-cross-origin

# Alternative für maximalen Datenschutz:
# Header Value: no-referrer
# → Kein Referrer wird an externe Seiten gesendet
Policy-Varianten im Überblick

strict-origin-when-cross-origin sendet den vollen Pfad bei Same-Origin-Requests und nur den Origin bei Cross-Origin. no-referrer unterdrückt den Referrer komplett. same-origin sendet den Referrer nur bei Same-Origin-Requests.

2 Schritt 2 von 3

Referrer-Policy per Bunny API automatisieren

Für Infrastructure-as-Code erstellen Sie die Edge Rule per API. Der API-Call ist idempotent hinsichtlich des Effekts — Bunny erstellt aber bei jedem Aufruf eine neue Regel. Prüfen Sie vorab per GET /pullzone/{id}/edgerules, ob die Regel bereits existiert.

Bunny API (cURL) API 
# Bunny API — Referrer-Policy Edge Rule erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "Referrer-Policy",
  "ActionParameter2": "strict-origin-when-cross-origin",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "Referrer-Policy Header",
  "Enabled": true
}'
no-referrer bricht Analytics-Tracking von Drittanbietern. Wenn Sie auf Google Analytics oder Matomo angewiesen sind, verwenden Sie strict-origin-when-cross-origin — das sendet immerhin den Origin als Referrer.
3 Schritt 3 von 3

Verifizieren und testen

Prüfen Sie den Referrer-Policy Header per curl. Testen Sie zusätzlich im Browser, ob die Policy korrekt greift: Bei Cross-Origin-Navigation sollte nur der Origin (ohne Pfad) als Referrer übermittelt werden.

Terminal Verifizieren 
# Referrer-Policy Header prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -i referrer-policy

# Erwartete Ausgabe:
referrer-policy: strict-origin-when-cross-origin

# Referrer-Verhalten im Browser testen:
# DevTools → Network → beliebigen Request anklicken
# → Request Headers → Referer prüfen
# Bei Cross-Origin: nur Origin (ohne Pfad) sichtbar

Häufige Fehler

Doppelte Header durch Origin + Edge Rule

Wenn Ihr Origin-Server bereits einen Referrer-Policy Header setzt und Sie denselben per Edge Rule konfigurieren, gewinnt die Edge Rule. Prüfen Sie trotzdem, ob der Browser zwei Header erhält — manche Clients interpretieren mehrere Referrer-Policy-Werte als kommagetrennte Liste.

unsafe-url versehentlich gesetzt

unsafe-url sendet den vollständigen URL inklusive Pfad und Query-Parametern an alle Ziele. Das kann Session-IDs, Tokens oder interne Pfade leaken. Verwenden Sie niemals unsafe-url in Produktionsumgebungen.

Analytics-Ausfälle durch no-referrer

Mit no-referrer erhalten Analytics-Tools keine Referrer-Daten mehr. Traffic erscheint als "Direct" statt als Verweis. Für die meisten Websites ist strict-origin-when-cross-origin der bessere Kompromiss zwischen Datenschutz und Analytics.

Meta-Tag überschreibt Edge Rule

Ein <meta name="referrer"> Tag im HTML kann die Header-Policy überschreiben. Wenn die Edge Rule strict-origin-when-cross-origin setzt, aber ein Meta-Tag no-referrer definiert, gilt die strengere Policy. Stellen Sie sicher, dass Header und Meta-Tag konsistent sind.

Compliance-Relevanz

Die Referrer-Policy ist direkt relevant für den Datenschutz. Die DSGVO fordert Datenminimierung — ein unkontrollierter Referrer kann personenbezogene Daten (URL-Parameter mit User-IDs, Session-Tokens) an Drittanbieter übermitteln. BSI IT-Grundschutz empfiehlt die Einschränkung von Header-Informationen. NIS2 fordert technische Maßnahmen zum Schutz personenbezogener Daten. Bunny CDN mit EU-only Storage Zones in Kombination mit einer strikten Referrer-Policy minimiert grenzüberschreitende Datenflüsse. Der Wolf-Agents Web Security Check prüft die Referrer-Policy und vergibt bis zu 10 Punkte.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo