Referrer-Policy für LiteSpeed konfigurieren

Schritt-für-Schritt-Anleitung: Referrer-Informationen auf LiteSpeed kontrollieren — per .htaccess oder Web Admin Console, mit pfadspezifischer Konfiguration.

Header prüfen Plattform entdecken
LiteSpeed · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Referrer-Policy auf LiteSpeed

Referrer-Policy kontrolliert, welche Referrer-Informationen der Browser bei Navigation und Requests mitsendet. Ohne diesen Header sendet der Browser den vollständigen URL inklusive Query-Parameter — potentiell mit sensiblen Daten wie Session-IDs, Suchbegriffen oder internen Pfaden. Gerade bei DACH-Hostern, die häufig LiteSpeed einsetzen, ist dieser Header schnell konfiguriert und bringt unmittelbaren Datenschutz-Gewinn.

LiteSpeed unterstützt die Apache-kompatible mod_headers-Syntax. Die Konfiguration ist identisch zu Apache — mit dem Unterschied, dass LiteSpeed .htaccess cached und ein Graceful Restart nach Änderungen nötig ist. Die Virtual-Host-Konfiguration (vhconf.conf) erlaubt pfadspezifische Policies, z.B. eine strengere Policy für Admin-Bereiche. Der Header ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

Ausführliche Einführung in Referrer-Policy

1 Variante 1: .htaccess

Referrer-Policy per .htaccess

Die einfachste Methode für Shared Hosting. Der IfModule-Wrapper verhindert Fehler, falls mod_headers nicht geladen ist. Kombinieren Sie die Referrer-Policy direkt mit anderen Security-Headern in einer .htaccess-Datei für eine vollständige Härtung.

.htaccess Minimal 
# .htaccess — Referrer-Policy auf LiteSpeed
<IfModule mod_headers.c>
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
.htaccess — Kombiniert Empfohlen 
# .htaccess — Alle empfohlenen Security-Header
<IfModule mod_headers.c>
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
</IfModule>
2 Variante 2: vhconf.conf

Virtual-Host-Konfiguration mit pfadspezifischer Policy

Die vhconf.conf unter /usr/local/lsws/conf/vhosts/[name]/vhconf.conf erlaubt unterschiedliche Policies pro Pfad. Setzen Sie eine strengere Policy für Admin-Bereiche oder sensible Pfade, während der öffentliche Bereich eine moderate Policy erhält. Die Web Admin Console (Port 7080) bietet das gleiche unter Virtual Hosts > [vhost] > Context > Header Operations.

vhconf.conf Pfadspezifisch 
# /usr/local/lsws/conf/vhosts/example/vhconf.conf
# Pfadspezifische Referrer-Policy

context / {
  type                    NULL
  location                $DOC_ROOT/

  extraHeaders {
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
  }
}

# Strengere Policy für Admin-Bereich
context /admin/ {
  type                    NULL
  location                $DOC_ROOT/admin/

  extraHeaders {
    Header always set Referrer-Policy "no-referrer"
  }
}

# Web Admin Console Pfad:
# Server Config > Virtual Hosts > [vhost] > Context
# URI: / > Header Operations
Warum nicht einfach no-referrer überall?

no-referrer sendet keinen Referrer und bietet maximale Privatsphäre. Aber: Analytics-Tools können die Traffic-Quelle nicht erkennen, und manche Affiliate-Programme erfordern den Referrer. strict-origin-when-cross-origin ist der beste Kompromiss — intern voller Referrer, extern nur der Origin.

Konfiguration testen und verifizieren

Nach dem Graceful Restart prüfen Sie den Header mit curl. Bei pfadspezifischer Konfiguration testen Sie jeden Pfad einzeln. Testen Sie auch Fehlerseiten — das always-Keyword stellt sicher, dass der Header auch bei 404-Antworten gesendet wird. Der Wolf-Agents Web Security Check prüft die Referrer-Policy automatisch.

Terminal Verifizierung 
# 1. Graceful Restart (LiteSpeed cached .htaccess!)
/usr/local/lsws/bin/lswsctrl restart

# 2. Referrer-Policy prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy

# Erwartete Ausgabe:
# Referrer-Policy: strict-origin-when-cross-origin

# 3. Admin-Bereich separat prüfen (falls konfiguriert)
curl -sI https://ihre-domain.de/admin/ | grep -i referrer-policy
# Referrer-Policy: no-referrer

# 4. Auch Fehlerseiten testen (always-Keyword)
curl -sI https://ihre-domain.de/nicht-vorhanden | grep -i referrer-policy
# Referrer-Policy: strict-origin-when-cross-origin
Auf Shared Hosting ohne SSH-Zugriff nutzen Sie den Hoster-Support oder das Plesk/cPanel LiteSpeed-Plugin für den Graceful Restart. Alternativ ändert sich der .htaccess-Cache nach dem konfigurierten TTL.

Häufige Fehler bei Referrer-Policy auf LiteSpeed

Diese LiteSpeed-spezifischen Fehler treten bei der Referrer-Policy-Konfiguration am häufigsten auf.

.htaccess cached — Änderungen nicht sichtbar

LiteSpeed cached .htaccess. Ohne Graceful Restart bleibt die alte Policy aktiv. Lösung: /usr/local/lsws/bin/lswsctrl restart

Web Admin Console hat Vorrang

Wenn in der Web Admin Console eine Referrer-Policy gesetzt ist, wird die .htaccess-Direktive ignoriert. Prüfen Sie Virtual Hosts > Context > Header Operations.

no-referrer bricht Analytics

no-referrer sendet keinen Referrer — Analytics-Tools können die Traffic-Quelle nicht erkennen. strict-origin-when-cross-origin ist der bessere Kompromiss für die meisten Websites.

Meta-Tag und Header gleichzeitig

Wenn sowohl ein HTTP-Header als auch ein <meta name="referrer">-Tag gesetzt sind, gewinnt der restriktivere Wert. Verwenden Sie nur eine Methode zur Vermeidung von Verwirrung.

LSCache liefert veraltete Policy

LSCache cached die Referrer-Policy mit der Response. Nach einer Änderung müssen Sie den LSCache leeren, damit neue Responses die aktualisierte Policy enthalten.

Plesk LiteSpeed-Plugin überschreibt Header

Das Plesk LiteSpeed-Plugin kann Header eigenständig verwalten. Prüfen Sie, ob das Plugin die Referrer-Policy-Konfiguration in der .htaccess überschreibt.

Compliance-Relevanz

DSGVO (Art. 5 Abs. 1c) fordert Datenminimierung — die Referrer-Policy reduziert die übertragenen URL-Daten und verhindert, dass sensible Query-Parameter an Drittanbieter gesendet werden. NIS2 verlangt technische Schutzmaßnahmen für Datenübertragungen. BSI IT-Grundschutz (APP.3.1.A14) empfiehlt die Kontrolle von Header-Informationen. ePrivacy-Verordnung erfordert den Schutz der Privatsphäre bei der Online-Kommunikation. Der Wolf-Agents Web Security Check bewertet die Referrer-Policy mit bis zu 10 Punkten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Welche Referrer-Policy ist für LiteSpeed empfohlen?

strict-origin-when-cross-origin ist der beste Kompromiss: Innerhalb der eigenen Domain wird der volle Referrer gesendet, bei Cross-Origin-Requests nur der Origin. Für maximale Privatsphäre: no-referrer.

Funktioniert die Referrer-Policy mit QUIC/HTTP3?

Ja. LiteSpeed sendet den Header über alle Protokolle — HTTP/1.1, HTTP/2 und QUIC/HTTP3. Die Referrer-Policy wird vom Browser unabhängig vom Transportprotokoll ausgewertet.

Warum sehe ich den Header nicht nach der Änderung?

LiteSpeed cached .htaccess-Dateien. Führen Sie einen Graceful Restart durch: /usr/local/lsws/bin/lswsctrl restart. Ohne Restart bleibt der alte Header aktiv.

Kann ich verschiedene Policies pro Pfad setzen?

Ja. Die vhconf.conf erlaubt unterschiedliche Contexts pro Pfad. Setzen Sie no-referrer für Admin-Bereiche und strict-origin-when-cross-origin für öffentliche Seiten.