Referrer-Policy mit Cloudflare konfigurieren

Schritt-für-Schritt: Referrer-Policy über Cloudflare Transform Rules ohne Code setzen — zone-weit für alle proxied Domains, kostenlos im Free Plan.

Referrer-Policy prüfen Plattform entdecken

Cloudflare · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 17. März 2026

Referrer-Policy mit Cloudflare

Cloudflare ermöglicht das Setzen von Security-Headern über Transform Rules — ohne Code und ohne Zugriff auf den Origin-Server. Die Konfiguration erfolgt direkt im Dashboard und gilt zone-weit für alle über Cloudflare proxied Domains. Das macht Cloudflare zur einfachsten Lösung für alle Websites, die bereits hinter Cloudflare laufen.

Transform Rules sind im Free Plan enthalten (10 Regeln). Für komplexe, dynamische Policies steht alternativ die Workers-Plattform zur Verfügung.

Ausführliche Einführung in Referrer-Policy

1 Schritt 1 von 4

Transform Rules im Dashboard

Cloudflare Transform Rules modifizieren HTTP-Requests und -Responses, bevor sie den Origin-Server erreichen oder den Client verlassen. Für das Setzen des Referrer-Policy Headers benötigen Sie eine Modify Response Header Regel — keine Coding-Kenntnisse erforderlich.

# Cloudflare Dashboard — Transform Rule erstellen
# Schritt 1: Dashboard → Ihre Zone → Rules
# Schritt 2: Transform Rules → Modify Response Header
# Schritt 3: + Create rule

Rule name: "Add Referrer-Policy Header"

When incoming requests match...
  All incoming requests

Then...
  Set static     → Header name:  Referrer-Policy
                 → Header value: strict-origin-when-cross-origin

Schritt-für-Schritt im Dashboard

1
Rules aufrufen: Cloudflare Dashboard → Ihre Zone auswählen → Rules in der Seitenleiste
2
Modify Response Header: Tab "Transform Rules" → "Modify Response Header" → "+ Create rule"
3
Regel konfigurieren: Bedingung "All incoming requests" → Set static → Header: Referrer-Policy → Wert: strict-origin-when-cross-origin
4
Speichern und deployen: "Deploy" klicken — die Regel gilt sofort für alle Requests

Set vs. Add

Mit "Set static" überschreibt Cloudflare den Header — auch wenn der Origin-Server ihn bereits setzt. Mit "Add" wird der Header nur hinzugefügt, wenn er noch nicht vorhanden ist. Für Referrer-Policy empfehlen wir "Set" um inkonsistente Origin-Header zu überschreiben.

2 Schritt 2 von 4

Workers-Alternative für dynamische Policies

Wenn Sie route-abhängige Policies benötigen (z.B. no-referrer für /admin/ und strict-origin-when-cross-origin für den Rest), bieten Cloudflare Workers maximale Flexibilität. Workers sind JavaScript-Funktionen, die auf Cloudflares Edge-Netzwerk ausgeführt werden.

// Cloudflare Worker — Dynamische Referrer-Policy
addEventListener('fetch', event => {
  event.respondWith(handleRequest(event.request));
});

async function handleRequest(request) {
  const response = await fetch(request);

  // Response-Header modifizieren
  const newHeaders = new Headers(response.headers);

  // Strengere Policy für /admin/*
  if (new URL(request.url).pathname.startsWith('/admin')) {
    newHeaders.set('Referrer-Policy', 'no-referrer');
  } else {
    newHeaders.set(
      'Referrer-Policy',
      'strict-origin-when-cross-origin'
    );
  }

  return new Response(response.body, {
    status: response.status,
    headers: newHeaders,
  });
}

Workers sind im Free Plan auf 100.000 Requests pro Tag begrenzt. Für die einfache Referrer-Policy (ohne Route-Unterscheidung) sind Transform Rules vorzuziehen — sie haben kein Request-Limit und erfordern keinen Code.

3 Schritt 3 von 4

Zone-weite Geltung sicherstellen

Transform Rules gelten nur für Requests, die durch Cloudflare proxied werden — erkennbar an der orangen Cloud im DNS-Dashboard. Subdomains mit grauer Cloud (DNS-only) werden nicht proxied und erhalten den Header nicht.

Proxy-Status im DNS-Dashboard

DNS-Eintrag	Proxy-Status	Transform Rules aktiv?
www.domain.de	Proxied (orange Cloud)	Ja
api.domain.de	DNS only (graue Cloud)	Nein
mail.domain.de	DNS only (graue Cloud)	Nein

API-Subdomains proxien?

Wenn Sie Ihre API-Subdomain über Cloudflare proxien wollen, achten Sie auf CORS-Konfiguration und mögliche SSL-Zertifikats-Anforderungen. Für API-Dienste mit direktem IP-Zugriff oder speziellen Anforderungen ist DNS-only oft besser.

4 Schritt 4 von 4

Konfiguration verifizieren

Nach dem Deployen der Transform Rule ist die Änderung sofort aktiv — kein Cache-Clear notwendig. Prüfen Sie mit curl oder in den Browser DevTools (Network-Tab), ob der Header in der Response erscheint.

# Referrer-Policy nach Cloudflare-Aktivierung prüfen
# (Cloudflare fügt den Header hinzu, bevor die Response den Client erreicht)
curl -sI https://ihre-domain.de | grep -i referrer-policy

# Erwartete Ausgabe:
# Referrer-Policy: strict-origin-when-cross-origin

# Cloudflare-spezifischen Header prüfen (zeigt CF-Proxy-Status):
curl -sI https://ihre-domain.de | grep -i cf-ray

Mit dem Wolf-Agents Web Security Check alle Security-Header nach dem Cloudflare-Setup automatisch prüfen lassen — inklusive Referrer-Policy, CSP, HSTS und mehr.

Auch verfügbar für:

Nginx Apache WordPress Next.js Express CaddyShopifyDemnächstTYPO3DemnächstHetznerDemnächstLaravelDemnächstDrupalDemnächstIONOSDemnächstAll-InklDemnächstShopwareDemnächstContaoDemnächstStratoDemnächstJoomlaDemnächstPHPDemnächstSpring BootDemnächst

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Wie setze ich die Referrer-Policy mit Cloudflare?

Öffnen Sie das Cloudflare-Dashboard, wählen Sie Ihre Zone und navigieren Sie zu Rules → Transform Rules → Modify Response Header. Erstellen Sie eine neue Regel: Wählen Sie "Set static" für den Header "Referrer-Policy" mit dem Wert "strict-origin-when-cross-origin". Aktivieren Sie die Regel für alle Incoming Requests.

Gelten Transform Rules für alle Subdomains?

Transform Rules gelten für alle Hostnames, die durch Cloudflare proxied werden (orange Cloud im DNS). Wenn Sie eine Regel für alle Requests der Zone anlegen (Bedingung: alle eingehenden Requests), gilt sie für www.domain.de, api.domain.de und alle anderen proxied Subdomains.

Was ist der Unterschied zwischen Transform Rules und Workers?

Transform Rules sind einfache Regeln ohne Code — ideal für statische Header wie Referrer-Policy. Workers sind JavaScript-Funktionen, die bei jedem Request ausgeführt werden. Für die Referrer-Policy empfehlen sich Transform Rules: kein Code, keine Fehlerquellen, kostenlos im Free Plan.

Überschreiben Cloudflare-Header die Header meines Origin-Servers?

Bei Transform Rules mit "Set" wird der Header gesetzt — auch wenn der Origin-Server bereits einen Referrer-Policy Header sendet. Der Cloudflare-Header überschreibt den Origin-Header. Mit "Add" würde der Header nur hinzugefügt, wenn er noch nicht existiert.

Gilt die Regel auch für API-Responses?

Ja, wenn die API-Route über Cloudflare proxied wird. Wenn Ihre API über eine separate Domain oder einen direkten IP-Zugriff erreichbar ist (graue Cloud im DNS), gilt die Regel nicht. Prüfen Sie Ihre DNS-Einträge auf den Proxy-Status.

Kann ich verschiedene Policies für verschiedene Pfade setzen?

Ja. Erstellen Sie mehrere Transform Rules mit unterschiedlichen Bedingungen (URI Path beginnt mit /admin/) und unterschiedlichen Referrer-Policy-Werten. Transform Rules werden in der konfigurierten Reihenfolge ausgeführt, wobei die erste passende Regel greift.

Ist die Transform Rules-Funktion kostenlos?

Ja. Transform Rules sind im Cloudflare Free Plan verfügbar. Der Free Plan enthält 10 Transform Rules. Für die Referrer-Policy benötigen Sie nur eine einzige Regel. Pro Plan und darüber bieten mehr Regeln und erweiterte Bedingungen.