Типовая проблема

Referrer-Policy не задан

Severity: Средний

Referrer-Policy — HTTP-заголовок, управляющий тем, какую информацию браузер передаёт в заголовке Referer при переходе по ссылкам. Без явной политики браузеры передают полный URL, включая чувствительные параметры запроса.

Проверить мой сайт

Симптомы

  • Заголовок Referrer-Policy отсутствует в ответе
  • AuditGuard: finding 'Referrer-Policy: not set'

AuditGuard обнаруживает эту проблему автоматически.

Почему это риск

Без Referrer-Policy URL страниц с чувствительными данными (токены сброса пароля, ID заказов, личные параметры) передаются в заголовке Referer при любом переходе — включая клик на рекламу, переход на сторонний сайт, загрузку сторонних скриптов.

Как исправить

Шаг 1

Nginx: add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Шаг 2

Apache: Header always set Referrer-Policy "strict-origin-when-cross-origin"

Шаг 3

strict-origin-when-cross-origin: передаёт только домен при cross-origin, полный URL при same-origin

Шаг 4

no-referrer: полностью убирает Referer заголовок

Шаг 5

same-origin: Referer только при переходах внутри сайта

Как AuditGuard обнаруживает проблему

AuditGuard проверяет наличие Referrer-Policy в ответных заголовках и оценивает значение на безопасность.

Проверьте ваш сайт прямо сейчас

AuditGuard находит эту проблему и 340+ других автоматически. Результат — за 2–5 минут.

Запустить аудит