Referrer (header)

Article publié, le 16 Août 2017 et modifié le 17 Mai 2020
Une minute de lecture

Cet article contient 162 mots.
Source brute de l'article :
Commit version : 7d84168

Définition

L’entête HTTP Referrer est une politique de protection d’un site internet, récente, en cours de travail… Cette politique permet aux sites web un contrôle fin sur l’origine d’où vient le client web. Cela vous permet de limiter l’exposition de votre site web, en limitant voire interdisant les informations que peuvent contenir cette entête.

Cette entête complète la directive ‘referrer’ de l’entête CSP

Options

4 options sont utiles :

no-referrer : ne jamais envoyer l’entête ; elle aura une valeur à vide.
same-origin : envoie l’entête mais seulement si le client se connecte sur le même site
strict-origin : envoie l’entête, en ne contenant que votre URL, tel que : https://mon.domaine.net
strict-origin-when-cross-origin : envoie l’entête complète… votre URL vers un site extérieur.

Exemples

Referrer-Policy: same-origin

nginx

add_header Referrer-Policy same-origin;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "Referrer-Policy" value "same-origin"

Documentations

https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy
Support actuel : http://caniuse.com/#search=Referrer