Referrer-Policy auf Hetzner konfigurieren

Referrer-Informationen auf Ihrem Hetzner vServer oder Cloud Server kontrollieren — von strict-origin-when-cross-origin bis no-referrer. Mit pfadspezifischen Konfigurationen für Nginx und Apache.

Header prüfen Plattform entdecken
Hetzner · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Referrer-Policy auf Hetzner

Referrer-Policy kontrolliert, welche Referrer-Informationen der Browser bei Navigationen und Requests an Drittanbieter sendet. Ohne Policy sendet der Browser standardmäßig die vollständige URL inklusive Pfad und Query-Parametern — das kann sensible Daten wie Session-IDs, Suchbegriffe oder interne Pfade an externe Dienste weitergeben. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check.

Der empfohlene Standard ist strict-origin-when-cross-origin: Bei Same-Origin-Requests wird die volle URL gesendet (für Analytics wichtig), bei Cross-Origin-Requests nur die Origin (z.B. https://ihre-domain.de ohne Pfad), und bei einem HTTPS-zu-HTTP-Downgrade wird gar nichts gesendet.

Ausführliche Einführung in Referrer-Policy

1 Schritt 1 von 2

Referrer-Policy Header setzen

Wählen Sie die passende Policy für Ihre Anforderungen. Für die meisten Websites ist strict-origin-when-cross-origin der beste Kompromiss zwischen Datenschutz und Funktionalität. Für sensible Bereiche wie Checkout oder Gesundheitsportale kann no-referrer sinnvoll sein.

Nginx — Empfohlen
/etc/nginx/conf.d/referrer-policy.conf Empfohlen 
# /etc/nginx/conf.d/referrer-policy.conf — Empfohlen
# Sendet Origin bei Cross-Origin, volle URL bei Same-Origin
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Nginx — Strikt
/etc/nginx/conf.d/referrer-policy.conf Strikt 
# /etc/nginx/conf.d/referrer-policy.conf — Strikt
# Sendet nur die Origin (ohne Pfad) bei HTTPS, nichts bei Downgrade
add_header Referrer-Policy "strict-origin" always;
Nginx — Kein Referrer
/etc/nginx/conf.d/referrer-policy.conf no-referrer 
# /etc/nginx/conf.d/referrer-policy.conf — Kein Referrer
# Sendet niemals Referrer-Informationen
add_header Referrer-Policy "no-referrer" always;
Apache
/etc/apache2/conf-available/referrer-policy.conf Empfohlen 
# /etc/apache2/conf-available/referrer-policy.conf
<IfModule mod_headers.c>
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
Pfadspezifische Policy

Für unterschiedliche Bereiche Ihrer Website können Sie verschiedene Policies setzen. Beispiel: strict-origin-when-cross-origin global, aber no-referrer für den Checkout-Bereich, damit keine Bestell-URLs an Payment-Provider weitergegeben werden.

nginx.conf (Auszug) Pfadspezifisch 
# Unterschiedliche Policies für verschiedene Pfade
# Standard: strict-origin-when-cross-origin
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

# Checkout/Payment: kein Referrer (Datenschutz)
location /checkout/ {
    add_header Referrer-Policy "no-referrer" always;
    # WICHTIG: Alle anderen Header hier wiederholen!
}
2 Schritt 2 von 2

Verifizierung

Prüfen Sie den Referrer-Policy-Header mit curl. Der Header sollte den konfigurierten Wert zeigen. Testen Sie zusätzlich in den Browser DevTools unter Network, ob der Referer-Header bei Cross-Origin-Requests korrekt gekürzt wird.

Terminal Verifizierung 
# Konfiguration testen und Webserver neu laden
sudo nginx -t && sudo systemctl reload nginx
# oder für Apache
sudo a2enconf referrer-policy && sudo apachectl configtest && sudo systemctl reload apache2

# Referrer-Policy Header prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy

# Erwartete Ausgabe:
# referrer-policy: strict-origin-when-cross-origin
Prüfen Sie nach der Aktivierung Ihre Analytics-Daten. Bei no-referrer gehen alle Referrer-Informationen verloren — Traffic erscheint als „Direct". Bei strict-origin-when-cross-origin bleibt die Origin erhalten.

Häufige Fehler bei Referrer-Policy auf Hetzner

Analytics-Tracking bricht mit strikter Policy

Bei no-referrer gehen UTM-Parameter (utm_source, utm_medium) für Cross-Origin-Navigationen verloren. Google Analytics und andere Tracking-Tools können den Traffic-Ursprung nicht mehr zuordnen. Lösung: strict-origin-when-cross-origin bewahrt die Origin, ohne den vollen Pfad preiszugeben.

Payment-Provider-Callbacks scheitern

Einige Payment-Provider (Stripe, PayPal) prüfen den Referrer-Header bei Callbacks. Mit no-referrer fehlt der Header komplett, was zu fehlgeschlagenen Verifikationen führen kann. Verwenden Sie strict-origin-when-cross-origin oder setzen Sie für den Payment-Pfad eine eigene Policy.

Nginx-Vererbung bei pfadspezifischer Policy

Wenn Sie in einem location-Block eine eigene Referrer-Policy setzen, müssen Sie alle anderen Header dort wiederholen — Nginx vererbt add_header nicht, sobald im aktuellen Block mindestens ein add_header steht. Vergessen Sie nicht HSTS, CSP und andere Security-Header.

Compliance-Relevanz

Die Referrer-Policy ist primär eine Datenschutz-Maßnahme. Ohne korrekte Policy können sensible URL-Parameter (Session-IDs, Suchbegriffe, interne Pfade) an Drittanbieter weitergegeben werden — ein Verstoß gegen das Prinzip der Datenminimierung.

DSGVOArt. 5(1)(c) und Art. 32 — Datenminimierung und technische Schutzmaßnahmen, Vermeidung unbeabsichtigter Datenweitergabe
BSIAPP.3.1 — Webserver-Absicherung, Minimierung der Informationsweitergabe an Dritte
OWASPOWASP Secure Headers Project — Referrer-Policy als empfohlener Security Header

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3Laravel

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo