Referrer-Policy (Headers)

O cabeçalho HTTP Referrer-Policy permite que o servidor controle quanta informação de referência (a URL de onde o usuário veio) deve ser incluída no cabeçalho Referer das requisições feitas a partir da página.

Por que configurar no Servidor?

Embora você possa configurar a política via meta tags ou atributos no HTML, configurar via cabeçalho HTTP garante que a política seja aplicada de forma consistente em todas as requisições, incluindo aquelas feitas por recursos carregados (scripts, imagens) e navegação.

---

Como fazer vs Como não fazer

✅ Como fazer

• Utilize strict-origin-when-cross-origin: Envia a URL completa para a mesma origem, mas apenas o domínio (origem) para outros sites via HTTPS. Não envia nada para sites HTTP inseguros.
• Utilize no-referrer para aplicações de altíssima segurança onde nenhuma informação de navegação deve vazar.
• Verifique se a política escolhida não quebra integrações legítimas que dependem do cabeçalho Referer (ex: analytics ou gateways de pagamento).

❌ Como não fazer

• Evite omitir o cabeçalho, permitindo que o navegador use o padrão dele (que pode variar entre versões e navegadores).
• Não utilize unsafe-url, pois ele envia parâmetros sensíveis da URL para qualquer destino.
• Não use políticas que permitam o envio de informações sensíveis para origens cruzadas sem criptografia (downgrade para HTTP).