Referrer Policy

A política de referência (Referrer Policy) controla quanta informação de diagnóstico da URL de origem (o cabeçalho Referer) o navegador deve enviar ao realizar requisições ou navegar para outra página.

Por que é importante?

URLs podem conter informações sensíveis, como tokens de redefinição de senha, IDs de sessão ou dados de pacientes. Se um usuário clica em um link para um site externo, esse site pode ler a URL completa de onde o usuário veio se a política não estiver configurada corretamente.

---

Como fazer vs Como não fazer

✅ Como fazer

• Utilize o cabeçalho HTTP Referrer-Policy: strict-origin-when-cross-origin. Este é o padrão moderno e seguro:
  • Envia a URL completa para a mesma origem.
  • Envia apenas a origem (domínio) para outras origens via HTTPS.
  • Não envia nada para sites HTTP inseguros.
• Utilize o atributo referrerpolicy em elementos específicos (<a>, <img>, <iframe>) se precisar de um controle mais granular:

  <a href="https://external-site.com" referrerpolicy="no-referrer">Link Seguro</a>

❌ Como não fazer

• Evite usar no-referrer-when-downgrade (comportamento antigo padrão), pois ele pode vazar URLs completas para outros domínios HTTPS.
• Não utilize unsafe-url, pois ele envia a URL completa (incluindo parâmetros de busca) para qualquer site, independente da segurança.
• Não confie apenas no Referrer para segurança ou controle de acesso no backend, pois ele pode ser facilmente omitido ou forjado pelo usuário.