Výraz noreferrer je nastavení používané v HTML (v odkazech), které říká prohlížeči, aby neposílal informaci o původu odkazu (tzv. referrer) na cílovou stránku. Zjednodušeně řečeno, když klikneš na odkaz s tímto atributem, web, kam přijdeš, nepozná, odkud jsi přišel.
🧒 Základní škola
Když klikneš na odkaz na internetu, počítač obvykle webu, na který jdeš, řekne, odkud jsi přišel. Je to jako když pošleš dopis a napíšeš na obálku svoji adresu. Ale když se do odkazu přidá slovo noreferrer, tak se ta tvoje „adresa“ na obálku nenapíše. Web, na který klikneš, pak neví, odkud jsi přišel. Je to tedy způsob, jak zůstat trochu víc v soukromí.
🎓 Střední škola
Atribut noreferrer se přidává do HTML odkazu, třeba takto:<a href="https://example.com" rel="noreferrer">Klikni sem</a>
Když někdo klikne na takový odkaz, prohlížeč neposílá HTTP hlavičku „Referer“, která obvykle obsahuje adresu stránky, odkud uživatel přišel. Díky tomu cílová stránka nevidí zdroj návštěvy, což chrání soukromí uživatele. Tento atribut se často používá společně s noopener, který navíc zajišťuje, že otevřená stránka nemůže ovlivnit tu původní. V praxi se to hodí například u reklamních nebo sledovacích odkazů, kde nechceš prozradit, odkud kliknutí pochází.
🎓🎓 Vysoká škola
Atribut rel=“noreferrer“ v HTML je součástí specifikace HTML Living Standard a ovlivňuje chování při přechodu mezi dokumenty. Když je nastaven, prohlížeč potlačí odesílání pole Referer v HTTP požadavku. To znamená, že cílový server nedostane informaci o URL původní stránky. Tento mechanismus zvyšuje bezpečnost a ochranu osobních údajů, protože zabraňuje nechtěnému úniku informací o původní stránce, například o struktuře webu nebo parametrech v URL. Uplatňuje se hlavně při odkazování na externí domény, kde by se referer mohl zneužít k analýze provozu. Atribut noreferrer navíc implicitně zahrnuje chování noopener, což brání tomu, aby nově otevřený dokument mohl manipulovat s objektem window.opener, tedy se stránkou, ze které byl otevřen.
🧠 Expert
V kontextu webové bezpečnosti je rel=“noreferrer“ implementační pokyn prohlížečům, který mění standardní chování v procesu navigace. V normálním případě se při každém HTTP požadavku odesílá hlavička Referer, která umožňuje cílovému serveru získat informaci o zdroji návštěvy. Tato informace je často využívána pro analytiku, sledování a optimalizaci marketingu, ale představuje riziko úniku citlivých údajů, zejména pokud původní stránka obsahuje parametry s osobními nebo autentizačními daty. Implementace noreferrer zajistí, že prohlížeč tuto hlavičku vynechá. V některých prohlížečích navíc zamezuje přístupu k objektu window.opener na cílové stránce, čímž eliminuje možnost útoků typu tabnabbing. Je však třeba zmínit, že některé Content Security Policy direktivy (například referrer-policy) mohou mít obdobný efekt a poskytují detailnější kontrolu nad chováním refereru, proto se v moderních aplikacích používá spíše CSP než samotný atribut noreferrer.
😇 Pán Bůh
Když noreferrer vstoupí do kódu, je to jako když někdo prochází vesmírem a nenechává za sebou stopu. Cílový svět (web) nepozná, odkud poutník přišel, ani proč. Je to tichý krok v digitálním vesmíru, kde každý odkaz obvykle šeptá své tajemství o původu. Ale s noreferrer vládne ticho. Žádný šepot, žádný echo, jen čistý přechod mezi světy. Webové servery se marně ptají, odkud přišel návštěvník, a prohlížeč mlčí jako mnich v chrámu soukromí.
Napsat komentář