Referrer-Policy für Nuxt 3 konfigurieren

Schritt-für-Schritt: Referrer-Informationen in Nuxt 3 kontrollieren — welche URL-Daten bei externen Requests übermittelt werden.

Headers prüfen Plattform entdecken
Nuxt 3 · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Referrer-Policy in Nuxt 3

Die Referrer-Policy steuert, welche URL-Informationen der Browser bei Navigationen und Ressourcen-Requests an externe Server übermittelt. Ohne Policy sendet der Browser standardmäßig den vollständigen Pfad — inklusive sensibler Query-Parameter. Mit 10 von 166 Punkten ist die Referrer-Policy ein Faktor im Wolf-Agents Web Security Check.

Der empfohlene Wert für die meisten Nuxt-Anwendungen ist strict-origin-when-cross-origin: bei Cross-Origin-Requests wird nur die Origin übermittelt, bei Same-Origin-Requests der vollständige Pfad. Das nuxt-security Modul setzt diesen Wert automatisch.

Ausführliche Einführung in Referrer-Policy

1 Schritt 1 von 3

Referrer-Policy konfigurieren

Setzen Sie den Referrer-Policy-Header über eine der drei Methoden. Das nuxt-security Modul setzt strict-origin-when-cross-origin als Default — für die meisten Anwendungen der beste Kompromiss aus Sicherheit und Funktionalität.

nuxt.config.ts nuxt-security 
// nuxt.config.ts — nuxt-security
export default defineNuxtConfig({
  modules: ['nuxt-security'],

  security: {
    headers: {
      referrerPolicy: 'strict-origin-when-cross-origin',
    },
  },
})
nuxt.config.ts routeRules 
// nuxt.config.ts — routeRules
export default defineNuxtConfig({
  routeRules: {
    '/**': {
      headers: {
        'Referrer-Policy': 'strict-origin-when-cross-origin',
      },
    },
  },
})
server/middleware/referrer.ts Middleware 
// server/middleware/referrer.ts — Nitro Middleware
export default defineEventHandler((event) => {
  setHeader(event,
    'Referrer-Policy',
    'strict-origin-when-cross-origin'
  );
})
2 Schritt 2 von 3

Den richtigen Wert wählen

Die Wahl des Referrer-Policy-Werts hängt von Ihrem Anwendungsfall ab. no-referrer bietet maximale Privacy, kann aber Analytics und Affiliate-Tracking beeinträchtigen.

Empfohlene Werte

strict-origin-when-cross-origin — Standard, sendet Origin bei Cross-Origin. no-referrer — maximal restriktiv, sendet nichts. same-origin — nur bei Same-Origin-Requests.

3 Schritt 3 von 3

Header verifizieren

Prüfen Sie den Header im Production-Build. Testen Sie auch die Auswirkung auf Ihre Analytics — manche Dienste benötigen Referrer-Daten für korrektes Tracking.

Terminal Verifizieren 
# Referrer-Policy prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy

# Erwartete Ausgabe:
# Referrer-Policy: strict-origin-when-cross-origin

Häufige Fehler

no-referrer bricht Analytics

no-referrer unterdrückt alle Referrer-Daten. Analytics-Tools wie Matomo oder Google Analytics können Traffic-Quellen nicht mehr zuordnen.

Meta-Tag überschreibt HTTP-Header nicht

Wenn Sie per useHead() ein Meta-Tag setzen und gleichzeitig einen HTTP-Header senden, gilt der restriktivere Wert. Setzen Sie die Policy nur an einer Stelle.

HTTPS-zu-HTTP Downgrade

Bei strict-origin-when-cross-origin wird bei HTTPS-zu-HTTP-Navigationen kein Referrer gesendet. Das ist erwünschtes Verhalten zum Schutz sensibler URLs.

Compliance-Relevanz

DSGVO fordert Datenminimierung — die Referrer-Policy reduziert die Übermittlung von URL-Informationen an Dritte. NIS2 verlangt technische Maßnahmen zum Schutz vor Informationslecks. Der Wolf-Agents Web Security Check bewertet die Referrer-Policy mit bis zu 10 Punkten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareStratoSpring BootPHPContaoJoomla

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo