Referrer (header)

Article publié, le et modifié le
1 minute(s) de lecture

Cet article contient 162 mots.
Source brute de l'article : MD

Définition

L’entête HTTP Referrer est une politique de protection d’un site internet, récente, en cours de travail… Cette politique permet aux sites web un contrôle fin sur l’origine d’où vient le client web. Cela vous permet de limiter l’exposition de votre site web, en limitant voire interdisant les informations que peuvent contenir cette entête.

Cette entête complète la directive ‘referrer’ de l’entête CSP

Options

4 options sont utiles :

  • no-referrer : ne jamais envoyer l’entête ; elle aura une valeur à vide. 
  • same-origin : envoie l’entête mais seulement si le client se connecte sur le même site
  • strict-origin : envoie l’entête, en ne contenant que votre URL, tel que : https://mon.domaine.net
  • strict-origin-when-cross-origin :  envoie l’entête complète… votre URL vers un site extérieur.

Exemples

Referrer-Policy: same-origin

nginx

add_header Referrer-Policy same-origin;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "Referrer-Policy" value "same-origin"

Documentations