L’en-tête HTTP Referrer-Policy (The Referrer Policy header) vous permet de décider quelles informations d’URL référente (referrer) le navigateur envoie lors de la navigation entre vos pages ou vers des sites externes. En ajustant cette politique, vous limitez les fuites de données sensibles, renforcez la confidentialité des utilisateurs et prévenez certains scénarios d’attaque.
Qu’est-ce que The Referrer Policy header ?
Spécifié par le W3C, Referrer-Policy offre plusieurs directives pour contrôler le champ Referer transmis dans les requêtes HTTP :
- Pas de référent envoyé (no-referrer)
- Référent complet seulement en contexte same-origin (no-referrer-when-downgrade, same-origin)
- Transmission partielle du référent (origin, origin-when-cross-origin)
- Transmission stricte à l’origine et en tout contexte sécurisé (strict-origin, strict-origin-when-cross-origin)
- Envoi de l’URL complète même vers HTTP (unsafe-url – à éviter)
Pourquoi implémenter Referrer-Policy ?
- Protection de la vie privée : ne transmettez pas de chemins ou de paramètres sensibles à des tiers.
- Limitation de la fuite d’informations : réduisez l’exfiltration de tokens, identifiants ou données de session dans les URL.
- Renforcement de la sécurité : couplé à HTTPS, évite le downgrade des requêtes et conserve un référent minimal sur connexions non sécurisées.
- Amélioration de la réputation SEO : certains moteurs valorisent la protection de la vie privée et la bonne hygiène HTTP.
Valeurs possibles de Referrer-Policy
- no-referrer : n’envoie jamais le référent.
- no-referrer-when-downgrade (par défaut dans certains navigateurs) : envoie le référent sauf si vous passez de HTTPS vers HTTP.
- same-origin : référent uniquement pour des requêtes same-origin.
- origin : n’envoie que le schéma + host + port, sans le chemin ni les query-strings.
- origin-when-cross-origin : full URL en same-origin, origin en cross-origin.
- strict-origin : origin uniquement si requête sécurisée (HTTPS→HTTPS).
- strict-origin-when-cross-origin : full URL en same-origin sécurisé, origin en cross-origin sécurisé, rien en downgrade.
- unsafe-url : envoie toujours la full URL (peu recommandé).
Exemple d’en-tête
Referrer-Policy: strict-origin-when-cross-origin
Exemples de déploiement
Nginx
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Apache (.htaccess)
<IfModule mod_headers.c> Header always set Referrer-Policy "strict-origin-when-cross-origin" </IfModule>
WordPress (functions.php)
add_action('send_headers', function(){
header('Referrer-Policy: strict-origin-when-cross-origin');
});
Nos services de mise en place
Chez Dimension Internet, nous vous accompagnons de A à Z :
- Audit de vos chemins et paramètres URL,
- Définition de la politique Referrer-Policy la plus adaptée à vos usages,
- Configuration sur vos serveurs (Nginx, Apache, CDN),
- Tests en report-only puis passage en production,
- Suivi et maintenance continue pour toute évolution de votre infrastructure.
Conclusion
L’en-tête Referrer-Policy (The Referrer Policy header) est un levier simple et puissant pour maîtriser la confidentialité de vos utilisateurs et limiter la fuite de données sensibles. Adoptez dès aujourd’hui une politique stricte et gagnez en confiance, en conformité et en performance SEO. Dimension Internet vous aide à chaque étape pour un déploiement sans faille.