Referrer-Policy für Shopware 6

Referrer-Informationen kontrollieren per EventSubscriber — Datenschutz für Checkout und Kundendaten, externe Links absichern.

Headers prüfen Plattform entdecken
Shopware · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Referrer-Policy in Shopware 6

Referrer-Policy kontrolliert, welche Referrer-Informationen der Browser bei Navigation und Requests mitsendet. Für Shopware-Shops ist das besonders relevant: Ohne Referrer-Policy können Checkout-URLs, Kundennummern und interne Suchbegriffe an externe Dienste übermittelt werden. Referrer-Policy ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

Die Konfiguration erfolgt über einen EventSubscriber, da Shopware keine native shopware.yaml-Option für Referrer-Policy bietet. Der empfohlene Wert strict-origin-when-cross-origin sendet bei Cross-Origin-Requests nur den Origin (Domain) und den vollen Referrer bei Same-Origin-Requests.

Ausführliche Einführung in Referrer-Policy

Implementierung

Variante A (empfohlen): EventSubscriber im Custom Plugin. Variante B: Nginx-Konfiguration für Self-Hosted-Setups.

Variante A — EventSubscriber
SecurityHeaderSubscriber.php Empfohlen
// SecurityHeaderSubscriber.php — Referrer-Policy
public function onResponse(ResponseEvent $event): void
{
    $response = $event->getResponse();

    // Referrer-Policy — Datenschutz für Checkout-URLs
    $response->headers->set(
        'Referrer-Policy',
        'strict-origin-when-cross-origin'
    );
}
Variante B — Nginx (Self-Hosted)
nginx.conf Server-Level
# Nginx — Alternative für Self-Hosted
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Datenschutz im Checkout

Ohne Referrer-Policy kann die vollständige Checkout-URL (inkl. Session-Token und Warenkorbdaten) an externe Tracking-Scripts und Payment-Provider übermittelt werden. strict-origin-when-cross-origin verhindert das.

Verifizierung

Nach dem Cache-Leeren prüfen Sie den Header.

Terminal Verifizierung
# Cache leeren
bin/console cache:clear

# Referrer-Policy prüfen
curl -sI https://ihr-shop.de | grep -i referrer-policy

# Erwartete Ausgabe:
# referrer-policy: strict-origin-when-cross-origin

Häufige Fehler

Google Analytics erhält keine Referrer-Daten

Mit no-referrer sieht Google Analytics nicht, von welcher Seite der Nutzer kam. Verwenden Sie strict-origin-when-cross-origin statt no-referrer, um grundlegende Analytics zu erhalten.

Affiliate-Tracking bricht ab

Affiliate-Programme benötigen Referrer-Informationen. Mit strict-origin-when-cross-origin wird der Origin gesendet — das reicht für die meisten Affiliate-Netzwerke.

Plugin-Update überschreibt Konfiguration

Manche Shopware-Plugins setzen eigene Referrer-Policy-Header. Prüfen Sie nach Plugin-Updates, ob Ihr EventSubscriber noch wirksam ist. Negative Priorität (-256) stellt sicher, dass Ihr Header zuletzt gesetzt wird.

Compliance-Relevanz

DSGVO Art. 5(1)(c) — Datenminimierung: Nur notwendige Referrer-Daten an Dritte übermitteln
NIS2 Art. 21(e) — Technische Maßnahmen zur Begrenzung des Informationsabflusses
BSI APP.3.1 — Minimierung der Datenpreisgabe bei HTTP-Requests

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Referrer-Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo