HTTP Referer: назначение и безопасность

HTTP Referer: для кого этот заголовок и как выбрать свою стратегию

Заголовок HTTP Referer — не просто техническая деталь, а инструмент, который разные участники рынка используют с противоположными целями. Если вы владелец сайта, маркетолог, веб-разработчик или специалист по безопасности, ваше отношение к Referer должно быть продиктовано конкретными бизнес-задачами, а не общими шаблонами. Ниже — разбор по сегментам: что именно каждый из вас получает от этого заголовка, какие риски несёт и какую политику управления Referer стоит выбрать.

Сегмент 1: Маркетологи и владельцы интернет-магазинов

Цель: отслеживать, с каких внешних ресурсов приходят посетители, оценивать эффективность рекламных кампаний и партнёрских ссылок.

Что даёт Referer: именно этот заголовок передаёт в вашу аналитическую систему (Яндекс.Метрика, Google Analytics, собственные счётчики) URL страницы, с которой кликнул пользователь. Без него вы не узнаете, привёл ли трафик баннер на другом сайте, пост в соцсети или статья на партнёрском блоге.

Критерии выбора для этого сегмента:

• Высокая полнота данных: вам нужно, чтобы Referer передавался при любых переходах, включая HTTPS → HTTP (если партнёр использует незащищённый протокол).
• Минимум блокировок: сторонние сервисы (платёжные шлюзы, внешние системы аналитики) тоже должны получать полный URL источника.
• Готовность к частичным потерям: если вы ставите строгую политику безопасности, часть реферальных данных может обрезаться до домена.

Кому подходит: интернет-магазинам, рекламным агентствам, владельцам контентных сайтов, которые монетизируют трафик через CPA-сети. Рекомендованная политика — strict-origin-when-cross-origin (по умолчанию в современных браузерах) для компромисса между аналитикой и базовой защитой. Если вам критична каждая крошка данных — используйте unsafe-url, но только на внутренних ресурсах под вашим контролем.

Сегмент 2: SEO-специалисты и владельцы блогов

Цель: анализировать внешние ссылки, которые приводят аудиторию, выявлять битые обратные ссылки и понимать, какой контент привлекает переходы из поисковых систем.

Что даёт Referer: поисковики (Яндекс, Google, Bing) передают в заголовке Referer не только домен, но и URL страницы выдачи, если переход не был защищён. Это позволяет сегментировать трафик по типу запроса, региону (через параметры в URL) и позиции в выдаче.

Критерии выбора для этого сегмента:

• Сохранение пути URL: вам нужно видеть не просто yandex.ru, а yandex.ru/search/?text=купить+ноутбук, чтобы понимать интенты пользователей.
• Прозрачность партнёрских переходов: при обмене ссылками с другими блогами важно, чтобы Referer не обрезался до домена, иначе вы не отличите прямой заход от перехода по ссылке.
• Защита от спама: открытая передача полного Referer делает ваш сайт целью для реферер-спама (когда боты подставляют чужие домены).

Кому подходит: владельцам информационных проектов, SEO-аналитикам, редакторам сайтов с гостевой публикацией. Оптимальная политика — same-origin для внутренних переходов (обеспечивает максимальную детализацию) и strict-origin для внешних (передаёт только домен). Если вам нужна полная картина поискового трафика — используйте origin-when-cross-origin.

Сегмент 3: Разработчики веб-приложений и API

Цель: контролировать цепочку запросов, защищать эндпоинты от CSRF-атак и проверять легитимность внешних вызовов к серверу.

Что даёт Referer: для серверной логики этот заголовок — один из механизмов проверки, что запрос пришёл с ожидаемого источника (например, вашего же сайта или доверенного стороннего сервиса). Без него вы теряете возможность простой валидации и вынуждены полагаться только на токены.

Критерии выбора для этого сегмента:

• Контроль над утечкой: если ваше API передаёт ключи или сессию в URL, Referer может выдать эти данные третьим лицам.
• Баланс между защитой и функциональностью: полная блокировка Referer сделает ваш сервер слепым к атакам, где атакующий подделывает происхождение запроса.
• Совместимость с CORS: при кросс-доменных запросах (например, из SPA на фронтенде к вашему бэкенду) Referer может обрезаться политикой браузера, и это нужно учитывать в валидации.

Кому подходит: разработчикам REST API, создателям SPA (React, Vue), администраторам корпоративных порталов. Для внешних эндпоинтов используйте no-referrer или same-origin (если API закрыто от прямых обращений). Для внутренних микросервисов — origin или unsafe-url с дополнительной аутентификацией. Избегайте полной блокировки на страницах с формами входа — это защитит от CSRF на уровне браузера.

Сегмент 4: Специалисты по информационной безопасности

Цель: предотвратить утечку чувствительных данных через Referer, защитить пользователей от отслеживания и закрыть векторы для эксплуатации уязвимостей.

Что даёт Referer: с точки зрения атакующего, Referer — источник информации о том, какие страницы посетила жертва, какие параметры (включая токены или ID сессии) были в URL. Без контроля Референра злоумышленник, разместивший внешнюю ссылку, может узнать, что пользователь авторизован в вашей CRM или банковском сервисе.

Критерии выбора для этого сегмента:

• Абсолютный приоритет конфиденциальности: Referer должен быть максимально обезличен или вовсе отключён.
• Сегментация по типу страниц: страницы оплаты, личные кабинеты, админки — для них нужна политика no-referrer или same-origin. Публичные страницы (блог, промо) могут передавать только домен.
• Минимизация рисков CSRF: даже при использовании токенов, настройка strict-origin снижает вероятность атаки через перехват Referer в комбинации с ClickJacking.

Кому подходит: администраторам банков, сайтов госуслуг, медицинских порталов, любым проектам, где пользователь передаёт личные данные. Единственная рекомендованная политика для критических разделов — no-referrer. Для остальных — same-origin с явным указанием через мета-тег или заголовок Referrer-Policy. Запретите использование unsafe-url на всём сайте.

Сводная таблица выбора политики Referrer-Policy по сегментам

1. Маркетинг / E-commerce: strict-origin-when-cross-origin — баланс аналитики и базовой защиты.
2. SEO / Блоги / Контент: origin-when-cross-origin для внешних переходов, same-origin для внутренних.
3. Разработчики API / SPA: same-origin для внешних эндпоинтов, no-referrer для страниц с авторизацией.
4. Безопасность / Конфиденциальность: no-referrer на защищённых разделах, same-origin на публичных.

Учитывайте, что настройка политики — не разовое действие. Пересматривайте её при каждом изменении структуры сайта, подключении новых внешних сервисов или обновлении браузеров (2026 год не исключение). Каждый сегмент имеет свою «идеальную» точку между потерей данных и уязвимостью — и только вы, зная свою аудиторию и бизнес-модель, можете её найти.

Добавлено: 27.04.2026