Referrer-Policy für Vercel konfigurieren
Schritt-für-Schritt-Anleitung: Referrer-Informationen auf Vercel kontrollieren — Datenlecks verhindern und Analytics-Kompatibilität sicherstellen.
Referrer-Policy auf Vercel
Referrer-Policy kontrolliert, welche Referrer-Informationen der Browser bei ausgehenden Requests mitsendet. Ohne explizite Policy sendet der Browser den vollen URL-Pfad — inklusive Query-Parametern, die sensible Daten wie Tokens oder Session-IDs enthalten können. Referrer-Policy ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check bewertet.
Auf Vercel setzen Sie Referrer-Policy per vercel.json. Der empfohlene Wert strict-origin-when-cross-origin sendet bei Cross-Site-Requests nur den Origin (z.B. https://ihre-domain.de), bei Same-Site-Requests den vollen Pfad — ein guter Kompromiss zwischen Privacy und Analytics-Kompatibilität.
Referrer-Policy per vercel.json
Fügen Sie den Referrer-Policy-Header in die vercel.json ein. Der Header gilt für alle Deployment-Umgebungen — Produktion und Preview Deployments gleichermassen. Für maximale Privacy verwenden Sie no-referrer, für Analytics-Kompatibilität strict-origin-when-cross-origin.
// vercel.json — Referrer-Policy
{
"headers": [
{
"source": "/(.*)",
"headers": [
{
"key": "Referrer-Policy",
"value": "strict-origin-when-cross-origin"
}
]
}
]
}Alternative: Edge Middleware
Wenn Sie bereits eine Edge Middleware nutzen, setzen Sie Referrer-Policy dort. Das ist besonders sinnvoll, wenn Sie pro Umgebung unterschiedliche Policies verwenden moechten — z.B. strengere Einstellungen in Produktion als in Preview Deployments.
// middleware.ts — Referrer-Policy per Edge Middleware
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';
export function middleware(request: NextRequest) {
const response = NextResponse.next();
// strict-origin-when-cross-origin: Origin bei Cross-Site, volle URL bei Same-Site
response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
return response;
}strict-origin-when-cross-origin ist der Browser-Default seit 2020 und der beste Kompromiss. no-referrer ist die strengste Option — bricht aber manche Analytics-Tools. origin-when-cross-origin sendet bei Cross-Site nur den Origin.
Header verifizieren
Prüfen Sie den Referrer-Policy-Header mit curl. Der Wolf-Agents Web Security Check bewertet die gewaehlte Policy und zeigt an, welche Informationen bei Cross-Site-Requests übertragen werden.
# Referrer-Policy prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy
# Erwartete Ausgabe:
referrer-policy: strict-origin-when-cross-originHäufige Fehler
no-referrer bricht Analytics
no-referrer sendet gar keine Referrer-Information. Google Analytics und andere Tools können keine Traffic-Quellen mehr zuordnen. Verwenden Sie strict-origin-when-cross-origin als Kompromiss.
unsafe-url gibt alles preis
unsafe-url sendet den kompletten URL inklusive Pfad und Query-Parameter bei jedem Request. Das ist ein Datenschutz-Risiko — setzen Sie diese Policy niemals in Produktion.
Framework-Config überschreibt vercel.json
Wenn next.config.ts oder das Framework ebenfalls Referrer-Policy setzt, hat die Framework-Konfiguration Vorrang. Prüfen Sie Ihre Framework-Einstellungen auf doppelte Header.
Compliance-Relevanz
Referrer-Policy ist direkt datenschutzrelevant. DSGVO fordert Datenminimierung — ohne Referrer-Policy werden unnötig URL-Pfade und Query-Parameter an Dritte übertragen. NIS2 verlangt technische Maßnahmen zum Schutz vor Datenlecks. Der Wolf-Agents Web Security Check bewertet die Referrer-Policy im Kontext der Gesamtkonfiguration.
Wie steht Ihre Domain bei Referrer-Policy?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.