HTTP Sec-Fetch-User Header

Der HTTP-Header Sec-Fetch-User ist ein Request-Header aus der Fetch Metadata API, der anzeigt, ob die Anfrage durch direkte Nutzer-Aktivierung ausgelöst wurde. Er sendet ?1 bei User-Interaction wie Link-Clicks oder Button-Presses, ist nützlich für Bot-Detection und Click-Fraud-Prevention.

Typ

Request-Header

Syntax

Der Header gibt die User-Aktivierung als strukturiertes Boolean an.

http 
Sec-Fetch-User: ?1

Direktiven

Die Direktiven definieren den User-Aktivierungsstatus als Structured Field Boolean.

?1
Request wurde durch direkte User-Aktivierung ausgelöst. Nutzer hat Link geklickt, Button gedrückt oder Enter in Adressleiste eingegeben. Zeigt echte User-Interaktion.
(Header absent)
Kein User-Activation-Flag, wenn Request programmatisch erfolgte. Fetch API, XHR, automatische Redirects oder Script-initiierte Requests haben keinen Sec-Fetch-User Header.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Sec-Fetch-User-Header.

Beispiel 1 User Click auf Link

http 
GET /article/123 HTTP/1.1
Host: news.example.com
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin

Nutzer klickt auf internen Link, Browser sendet Sec-Fetch-User: ?1 zur Signalisierung echter User-Interaktion statt Bot-Crawl.

Beispiel 2 Programmatic Fetch ohne User Flag

http 
GET /api/data HTTP/1.1
Host: api.example.com
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

JavaScript Fetch API Request hat keinen Sec-Fetch-User Header, da programmatisch getriggert ohne direkte User-Action.

Beispiel 3 Ad Click Fraud Detection

http 
GET /ad/click?campaign=123 HTTP/1.1
Host: ads.example.com
Sec-Fetch-User: ?1
Referer: https://publisher.example.com

HTTP/1.1 200 OK
X-Click-Validated: true

<!-- Log as valid user click -->

Ad-Network validiert Sec-Fetch-User: ?1 Präsenz, nur Clicks mit User-Flag werden als billable Clicks gezählt zur Fraud-Prevention.

User Activation Validation Flow

Sec-Fetch-User Click Validation Ablauf

Vorteile für die Systemarchitektur

  • Bot Detection Signal: Abwesenheit von Sec-Fetch-User bei Navigation-Requests deutet auf Bot-Traffic hin, ermöglicht Rate-Limiting oder Captcha-Challenges
  • Click-Fraud Prevention: Ad-Networks können programmatische Ad-Clicks ohne User-Flag automatisch filtern, reduziert Advertising-Fraud
  • Analytics Accuracy: Page-View-Analytics können echte User-Navigations von Prefetch oder Bot-Crawls unterscheiden für präzisere Metriken

Spezifikation

Fetch Metadata Request Headers https://www.w3.org/TR/fetch-metadata/

Weitere Spezifikationen

Sec-Fetch-Site Header, Sec-Fetch-Dest Header