Mit jedem Klick auf einen Link sendet Browser einen Referer im HTML Header an die aufgrufenen Webseite und teilt mit, von welcher Webseite der Surfer gekommen ist.

Bei der Einblendung von Bildern, Videos oder Werbung durch Dritte liefert der Referer die Information, welche Seite man gerade betrachtet. Es ist ein gut geeignetes Merkmal für das Tracking mit Werbung, HTML-Wanzen oder Like-Buttons - die "Schleimspur im Web".

Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Web­seiten private Informationen via Referer an Trackingdienste übertragen. Das Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com/...?email=name@email.com
Cookie: id=123456789.....

Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) wurden die gesammelten Datensätze personalisiert.

In der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste.

Mit Firefox 87 (März 2021) hat Mozilla auf dieses Risiko für die Privatsphäre reagiert und kürzt den Rerferer beim Aufruf von Elementen von Drittseiten auf die Domain. Beispiel für ein Werbebanner:

GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com
Cookie: id=123456789.....

Referer modifizieren für Firefox

Firefox bietet die Möglichkeit, das Senden des Referers an Drittseiten zu blockieren. Dafür setzt man unter "about:config" folgende Option: network.http.referer.XOriginPolicy = 2 Mit dieser Einstellung werden Subdomains als Drittseiten behandelt und es wird auch an Subdomains kein Referer gesendet. Das schützt somit auch gegen Trackingdienste, die sich mit DNS-Aliases als Subdomains auf populären Webseiten einschleichen (z.B. WebTrekk bei Heise.de und Zeit.de). Allerdings bringt es möglicherweise vereinzelt Probleme bei einigen Websites mit sich. Wer diese Probleme minimieren möchte, kann folgende Option setzen: network.http.referer.XOriginPolicy = 1

Damit werden Subdomains wie die Hauptdomain behandelt und es wird ein Referer gesendet. Lediglich an echte Drittseiten wird kein Referer übergeben.

Einige Webseiten zum Thema Privacy empfehlen, das Senden des Referers mit folgender Option komplett zu deaktivieren, auch für die FirstParty Domain: network.http.sendRefererHeader = 0 Diese Einstellung ist nicht empfehlenswert, da es den Schutz gegen Tracking nicht wesentlich verbessert. Innerhalb einer Domain kann der Webmaster einen Surfer immer verfolgen, mit oder ohne Referer. Die Einstellung führt zu einem individuellen Fingerprint, da der Request-Header ganz ohne Referer sich von den 99% der anderen Surfer unterscheidet. Außerdem hat man öfters seltsame Probleme, weil Spam-Schutz Module in Diskussionsforen und Blogs oft den Referer als Feature zur Erkennung von Spam-Bots auswerten.
Lizenz: Public Domain