Referrer-Policy für Netlify konfigurieren
Schritt-für-Schritt-Anleitung: Referrer-Informationen auf Netlify kontrollieren — Privatsphäre schützen und sensible URL-Parameter verbergen.
Referrer-Policy auf Netlify
Die Referrer-Policy kontrolliert, welche Referrer-Informationen der Browser bei Navigationen und Requests sendet. Ohne Policy sendet der Browser die vollständige URL — inklusive sensibler Query-Parameter wie Tokens oder Session-IDs. Referrer-Policy ist mit 10 von 166 Punkten ein relevanter Faktor im Wolf-Agents Web Security Check.
Auf Netlify setzen Sie den Header per netlify.toml, _headers oder Edge Functions. Der empfohlene Wert strict-origin-when-cross-origin sendet bei Cross-Origin-Requests nur den Origin (z.B. https://ihre-domain.de), nicht den vollständigen Pfad mit Query-Parametern.
Für pfadspezifische Policies nutzen Sie mehrere [[headers]]-Blöcke in der netlify.toml oder eine Edge Function mit Pfadlogik. So können sensible Bereiche (Dashboard, Checkout) den Referrer vollständig unterdrücken, während Blog-Seiten den Referrer für Analytics beibehalten.
Referrer-Policy per netlify.toml und _headers
Der Wert strict-origin-when-cross-origin ist der beste Kompromiss zwischen Privatsphäre und Funktionalität. Er sendet den vollständigen Referrer bei Same-Origin-Requests und nur den Origin bei Cross-Origin-Requests. Für dynamische Pfadlogik nutzen Sie eine Edge Function.
# netlify.toml — Referrer-Policy
[[headers]]
for = "/*"
[headers.values]
Referrer-Policy = "strict-origin-when-cross-origin"# _headers — Referrer-Policy
/*
Referrer-Policy: strict-origin-when-cross-origin// netlify/edge-functions/referrer-policy.ts
import type { Context } from "https://edge.netlify.com";
export default async (request: Request, context: Context) => {
const response = await context.next();
const url = new URL(request.url);
// Sensible Bereiche: Kein Referrer
if (url.pathname.startsWith("/dashboard") ||
url.pathname.startsWith("/checkout")) {
response.headers.set(
"Referrer-Policy",
"no-referrer"
);
} else {
response.headers.set(
"Referrer-Policy",
"strict-origin-when-cross-origin"
);
}
return response;
};
export const config = { path: "/*" };Pfadspezifische Policies und Policy-Werte
Für unterschiedliche Bereiche Ihrer Website können Sie separate Referrer-Policies definieren. In der netlify.toml wird die spezifischere Regel für den passenden Pfad angewendet. Waehlen Sie den passenden Wert für Ihre Anforderungen:
# netlify.toml — Pfadspezifische Referrer-Policies
# Global: Maximale Privatsphäre
[[headers]]
for = "/*"
[headers.values]
Referrer-Policy = "no-referrer"
# Blog: Referrer für Analytics beibehalten
[[headers]]
for = "/blog/*"
[headers.values]
Referrer-Policy = "strict-origin-when-cross-origin"
# Dashboard: Kein Referrer (sensible URLs)
[[headers]]
for = "/dashboard/*"
[headers.values]
Referrer-Policy = "no-referrer"| Wert | Cross-Origin-Referrer | Empfehlung |
|---|---|---|
no-referrer | Kein Referrer | Maximale Privatsphäre |
strict-origin-when-cross-origin | Nur Origin | Empfohlen (Standard) |
same-origin | Kein Referrer | Nur interne Referrer |
origin | Nur Origin | Immer nur Domain |
Header verifizieren
Prüfen Sie die Referrer-Policy für verschiedene Pfade nach dem Deploy. Testen Sie sowohl öffentliche Seiten als auch sensible Bereiche.
# Globale Referrer-Policy prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy
# Erwartete Ausgabe:
# Referrer-Policy: strict-origin-when-cross-origin
# Sensiblen Bereich prüfen
curl -sI https://ihre-domain.de/dashboard/ | grep -i referrer-policy
# Erwartete Ausgabe (bei pfadspezifischer Policy):
# Referrer-Policy: no-referrer
# Deploy Preview prüfen
curl -sI https://deploy-preview-42--ihre-site.netlify.app | grep -i referrer-policy
# Wolf-Agents Web Security Check nutzen:
# https://wolf-agents.com/tools/web-security-checkHäufige Fehler bei Referrer-Policy auf Netlify
Analytics funktioniert nicht
no-referrer unterbricht Referrer-basierte Analytics (z.B. Google Analytics Referral-Berichte). Verwenden Sie stattdessen strict-origin-when-cross-origin, das den Origin weiterhin sendet.
Meta-Tag überschreibt Header
Ein <meta name="referrer"> im HTML kann den HTTP-Header überschreiben. Entfernen Sie das Meta-Tag, wenn Sie den Header per netlify.toml setzen, um Inkonsistenzen zu vermeiden.
unsafe-url ist gefährlich
unsafe-url sendet die vollständige URL bei allen Requests — inklusive HTTPS-zu-HTTP-Downgrades. Query-Parameter mit Tokens oder Session-IDs werden im Klartext übertragen. Verwenden Sie diesen Wert niemals.
Deploy Preview mit leerer Policy
Wenn Ihre netlify.toml nur domain-spezifische Header setzt, gelten diese auch für Deploy Previews unter *.netlify.app. Verwenden Sie Pfad-Patterns statt Domain-basierte Einschränkungen.
Compliance-Relevanz
Die Referrer-Policy schützt sensible Informationen in URLs vor unbeabsichtigter Weitergabe.
DSGVO
Fordert den Schutz personenbezogener Daten. Die Referrer-Policy verhindert, dass Tokens, Session-IDs oder Benutzernamen in URLs an Drittanbieter-Websites weitergegeben werden.
NIS2
Verlangt technische Maßnahmen gegen Datenlecks. Referrer-Informationen können interne URL-Strukturen und sensible Parameter offenlegen — ein vermeidbares Risiko.
OWASP
Empfiehlt strict-origin-when-cross-origin oder no-referrer als Best Practice. Die OWASP Secure Headers Cheat Sheet listet Referrer-Policy als empfohlenen Header.
Wolf-Agents Check
Bewertet die Referrer-Policy mit bis zu 10 Punkten. Geprüft wird, ob ein sicherer Wert gesetzt ist — unsafe-url und no-referrer-when-downgrade werden als unsicher bewertet.
Wie steht Ihre Domain bei Referrer-Policy?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.