HTTP Referrer-Policy Header

Der HTTP-Header Referrer-Policy ist ein Response-Header, der steuert, welche Referrer-Informationen in ausgehenden Requests gesendet werden. APIs können ihn setzen, um Privacy zu schützen und sensitive URL-Parameter nicht in Referer-Headers preiszugeben.

Typ

Response-Header

Syntax

Der Header definiert eine Policy für Referer-Übertragung an Drittseiten.

http 
Referrer-Policy: no-referrer
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: origin

Direktiven

Die Direktiven steuern Umfang und Bedingungen der Referer-Übertragung.

no-referrer
Kein Referer-Header wird jemals gesendet, maximaler Privacy-Schutz.
origin
Nur Origin (Schema + Host) wird gesendet, ohne Pfad und Query-String.
strict-origin
Nur Origin bei gleicher oder höherer Sicherheitsstufe (HTTPS → HTTPS, HTTPS → HTTP sendet nichts).
strict-origin-when-cross-origin
Volle URL bei Same-Origin, nur Origin bei Cross-Origin mit gleichem oder höherem Security-Level (Standard).
no-referrer-when-downgrade
Volle URL außer bei HTTPS → HTTP Downgrade.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Referrer-Policy-Header.

Beispiel 1 Strict Privacy für API-Antworten

http 
GET /api/users/12345 HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1...

API sendet Policy für maximalen Privacy-Schutz.

http 
HTTP/1.1 200 OK
Content-Type: application/json
Referrer-Policy: no-referrer

{"id": 12345, "name": "Max Müller", "email": "max@example.com"}

Nachfolgende Requests von dieser Seite senden keinen Referer-Header.

Beispiel 2 Origin-Only bei Cross-Origin Requests

http 
HTTP/1.1 200 OK
Content-Type: text/html
Referrer-Policy: strict-origin-when-cross-origin

<!DOCTYPE html>
<html>...

Browser sendet bei Links zu externen APIs nur Origin ohne sensitive URL-Parameter.

Beispiel 3 Kombination mit CORS für externe API-Calls

http 
GET /api/public/data HTTP/1.1
Host: external-api.com
Referer: https://app.example.com/
Origin: https://app.example.com

Server-Response definiert Policy für folgende Requests.

http 
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://app.example.com
Referrer-Policy: origin
Content-Type: application/json

{"data": [...]}

Referrer Policy Flow

Referrer-Policy Kontrolle für Cross-Origin Requests

Vorteile für die Systemarchitektur

Referrer-Policy schützt Privacy und verhindert Information-Leakage bei API-Integrationen.

  • Privacy-Schutz: Verhindert Leakage von Session-Tokens, API-Keys oder User-IDs in URLs
  • Security-By-Default: Modern Browsers nutzen strict-origin-when-cross-origin als Default
  • Compliance: Hilft bei GDPR-Compliance durch Minimierung von Tracking-Informationen

Spezifikation

Referrer Policy (W3C Candidate Recommendation) https://www.w3.org/TR/referrer-policy/

Weitere Spezifikationen

Referer Header, Content-Security-Policy Header