Web Sunucusunda Referrer Policy Ayarları Nasıl Yapılır?

Web sunucularında Referrer Policy ayarları, kullanıcı gizliliğini korumak ve güvenlik standartlarını yükseltmek için kritik öneme sahiptir. Referrer-Policy HTTP başlığı, tarayıcıların bir sayfadan diğerine geçiş sırasında referrer bilgisini (kaynak URL’yi) nasıl göndereceğini belirler. Bu ayarlar, özellikle GDPR gibi veri koruma düzenlemelerine uyum sağlamak ve cross-site isteklerde hassas verilerin sızmasını önlemek amacıyla kullanılır. Yanlış yapılandırılmış referrer bilgileri, phishing saldırıları veya veri izleme risklerini artırabilir. Bu makalede, çeşitli web sunucu platformlarında bu politikayı adım adım nasıl uygulayacağınızı öğreneceksiniz. Pratik örneklerle yapılandırma süreçlerini inceleyerek, sunucunuzu güvenli hale getirebilirsiniz.

Referrer-Policy Değerleri ve Seçenekleri

Referrer-Policy başlığı, sekiz ana değerle yapılandırılabilir ve her biri farklı senaryolara uygundur. Örneğin, “no-referrer” değeri referrer bilgisini tamamen gizler ve en yüksek gizlilik seviyesini sağlar. “strict-origin-when-cross-origin” ise aynı origin isteklerinde tam URL’yi, cross-origin isteklerinde ise yalnızca origin’i (protokol + hostname) gönderir. Bu değer, modern web uygulamaları için önerilen varsayılan ayardır çünkü hem kullanıcı deneyimini korur hem de gereksiz veri paylaşımını engeller.

Politika seçiminde, sitenizin trafiğini analiz edin. E-ticaret siteleri için “same-origin” yeterli olabilirken, API sunucuları “strict-origin” tercih etmelidir. Uygulama sırasında, bu değeri meta etiketiyle () veya HTTP başlığıyla ayarlayabilirsiniz. Sunucu düzeyinde ayarlamak, tüm sayfaları kapsar ve tutarlılık sağlar. Aşağıdaki tabloda değerleri özetliyoruz, ancak asıl odak sunucu yapılandırmasıdır.

• no-referrer: Hiç referrer göndermez.
• origin: Yalnızca origin bilgisi paylaşır.
• strict-origin-when-cross-origin: Cross-origin HTTPS’te origin, HTTP’te hiç göndermez.

Bu değerleri test etmek için Chrome DevTools’un Network sekmesini kullanın; Request Headers altında Referrer başlığını kontrol edin. Yanlış ayar, analytics araçlarında veri kaybına yol açabilir, bu yüzden kademeli geçiş yapın.

Apache Sunucusunda Referrer-Policy Yapılandırması

.htaccess Dosyası ile Hızlı Ayar

Apache sunucularda en pratik yöntem, .htaccess dosyasını kullanmaktır. Proje kök dizinine .htaccess dosyasını açın ve şu satırı ekleyin: Header always set Referrer-Policy “strict-origin-when-cross-origin”. Bu, mod_headers modülünün etkin olması koşuluyla tüm istekler için geçerlidir. Modülü etkinleştirmek için terminalde sudo a2enmod headers komutunu çalıştırın ve Apache’yi yeniden başlatın: sudo systemctl restart apache2. Bu ayar, dinamik sitelerde (WordPress gibi) sorunsuz çalışır ve subdomain’leri kapsar.

Test için curl komutuyla doğrulayın: curl -I -e “https://ornek.com” https://siteniz.com. Referer başlığının beklendiği gibi kısaltıldığını göreceksiniz. Eğer sanal host kullanıyorsanız, httpd.conf veya sites-available dosyasında bloğu içine Header direktifini yerleştirin. Bu yöntem, paylaşımlı hostinglerde bile yönetici erişimi olmadan uygulanabilir ve trafiği %100 kapsar.

Yapılandırma Dosyalarında Kalıcı Ayar

Sunucu düzeyinde kalıcı ayar için apache2.conf dosyasını düzenleyin. /etc/apache2/apache2.conf içinde bloğuna Header always append Referrer-Policy “no-referrer-when-downgrade” ekleyin. Bu, yalnızca HTTP’den HTTPS’e geçişlerde referrer’ı korur. Değişiklik sonrası apachectl configtest ile syntax kontrolü yapın, ardından restart edin. Büyük ölçekli sunucularda, bu global ayar performansı optimize eder çünkü her istekte .htaccess okunmaz.

Özel durumlar için koşullu header’lar tanımlayın, örneğin: Header set Referrer-Policy “origin-when-cross-origin” . Bu, HTTPS trafiği için farklı politika uygular ve hibrit ortamlara uygundur. Uygulama sonrası, sunucu loglarını inceleyerek uyumluluğu doğrulayın.

Nginx ve Diğer Sunucularda Uygulama

Nginx Konfigürasyonunda Adımlar

Nginx’te, site-enabled dizinindeki konfigürasyon dosyasını (örneğin default) açın ve server bloğu içine add_header Referrer-Policy strict-origin-when-cross-origin always; satırını ekleyin. “always” parametresi, hata sayfaları dahil tüm yanıtlar için zorunludur. nginx -t ile test edin, ardından sudo systemctl reload nginx ile uygulayın. Bu ayar, proxy sunucularında da geçerlidir ve upstream bloklarında proxy_hide_header Referrer; ile çakışmayı önleyin.

Örnek konfig: server { listen 443 ssl; … add_header Referrer-Policy “same-origin” always; }. Yüksek trafikli sitelerde, bu header’ı cache’leme ile birleştirin ki her istekte yeniden hesaplanmasın. DevTools ile doğrulayın; cross-origin isteklerde referrer’ın origin ile sınırlı kaldığını göreceksiniz. Paylaşımlı Nginx ortamlarında, user directive’ini kontrol edin.

IIS ve Node.js İçin Alternatifler

Windows IIS’te, web.config dosyasına ekleyin. IIS Manager’dan HTTP Response Headers bölümünde de ayarlanabilir. Node.js/Express için app.use((req, res, next) => { res.set(‘Referrer-Policy’, ‘strict-origin’); next(); }); kullanın. Her platformda, yeniden başlatma sonrası tarayıcı cache’ini temizleyin.

Bu yaklaşımlar, çoklu sunucu mimarilerinde tutarlılık sağlar. Ölçeklenebilirlik için, Docker container’larında environment variable ile dinamik ayarlayın.

Referrer-Policy ayarlarını uyguladıktan sonra, düzenli denetimler yaparak politikaları güncel tutun. Araçlar gibi securityheaders.com ile tarama yapın ve A+ puanı hedefleyin. Bu yapılandırmalar, sitenizin güvenliğini artırırken kullanıcı güvenini pekiştirir. Adım adım ilerleyerek, olası kesintileri minimuma indirin ve web standartlarına tam uyum sağlayın.