HTTP Referer Header

Der HTTP-Header Referer ist ein Request-Header, der die URL der Seite angibt, von der aus der aktuelle Request initiiert wurde. APIs nutzen ihn für Analytics, Security-Checks und Context-Tracking, aber Privacy-Policies können die Übertragung einschränken.

Typ

Request-Header

Syntax

Der Header enthält die vollständige oder teilweise URL der Referrer-Seite.

http 
Referer: https://example.com/products/list
Referer: https://shop.example.com/

Direktiven

Der Header hat keine Direktiven, sondern übermittelt eine URL-Zeichenkette.

<url>
Vollständige URL der verweisenden Seite inklusive Schema, Host, Pfad und optional Query-String. Fragment-Identifier werden nie gesendet.
<partial-url>
Bei restriktiven Referrer-Policies nur Origin (Schema + Host) ohne Pfad.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Referer-Header.

Beispiel 1 API-Request von Produktseite

http 
GET /api/products/12345/reviews HTTP/1.1
Host: api.example.com
Referer: https://shop.example.com/products/12345
Authorization: Bearer eyJhbGciOiJIUzI1...

API-Server kann aus Referer ableiten, dass Request von Product-Detail-Seite kommt.

Beispiel 2 CSRF-Validierung für POST-Request

http 
POST /api/orders HTTP/1.1
Host: api.example.com
Referer: https://shop.example.com/checkout
Content-Type: application/json
Authorization: Bearer eyJhbGciOiJIUzI1...

{"product_id": 789, "quantity": 2}

Server prüft Referer gegen Whitelist erlaubter Origins für CSRF-Protection.

http 
HTTP/1.1 201 Created
Location: /api/orders/order-abc-123

Beispiel 3 Fehlender Referer bei direktem API-Aufruf

http 
GET /api/public/status HTTP/1.1
Host: api.example.com

Kein Referer-Header, da Request direkt gesendet wurde (nicht von Browser-Navigation).

http 
HTTP/1.1 200 OK
Content-Type: application/json

{"status": "operational", "version": "2.1.0"}

Referer-Based Analytics Flow

API Analytics mit Referer-Header

Vorteile für die Systemarchitektur

Referer-Tracking bietet wertvolle Context-Informationen für APIs, erfordert aber Privacy-Abwägungen.

  • User Journey Analytics: APIs können Conversion-Pfade und Traffic-Quellen tracken
  • CSRF-Protection: Validation des Referers gegen Whitelist verhindert Cross-Site Request Forgery
  • Context-Aware Responses: Server können Antworten basierend auf Referrer-Context anpassen

Spezifikation

RFC 9110, Section 10.1.3 – HTTP Semantics https://www.rfc-editor.org/rfc/rfc9110.html#name-referer

Weitere Spezifikationen

Referrer-Policy Header, Origin Header