如何修复网站缺失的Referrer-Policy安全头
Referrer-Policy是什么?
Referrer-Policy是一种安全头部,应包含在网站服务器与客户端的通信中。该策略指示浏览器当用户点击跳转链接时,如何处理发送给目标站点的来源信息。可配置为不传递任何URL信息、部分信息或完整路径。最佳实践推荐强制设置该策略,可通过PHP等网站代码或Apache配置实现。
检查Referrer-Policy是否启用
未主动配置的网站通常缺失该头部,可通过SecurityHeaders.io扫描检测,或使用FireFox开发者控制台验证。
确定Referrer策略需求
用户离开网站时,目标服务器可能需要来源信息(用于广告分析等),但也需防止HTTPS URL泄露到非安全HTTP环境。推荐采用"no-referrer-when-downgrade"策略,确保从HTTPS跳转HTTP时不暴露原始URL路径。
Apache配置步骤
- 在
httpd.conf中找到VirtualHost配置段 - 定位或创建
<IfModule headers_module>区块 - 添加头部指令:
|
|
- 重启Apache服务:
sudo service apache restart
扩展资源
- Scott Helme的Referrer Policy详解
- 安全头部检测工具:SecurityHeaders.io
- 关联阅读:内容安全策略(CSP)配置指南