webentity
Lernen/Technisches SEO

noreferrer

Kurzfassungrel="noreferrer" sagt dem Browser, beim Folgen eines Links keinen Referer-Header zu senden. Damit bleibt verborgen, von welcher Seite der Nutzer kam. Auf Link Equity hat es keinen Einfluss - das macht nofollow.

Was ist noreferrer?

noreferrer ist ein Wert fuer das rel-Attribut von HTML-Links. Ist es gesetzt, sendet der Browser keinen Referer-Header an die Zielseite, und die Zielseite kann nicht auf window.opener zugreifen.

Der Referer-Header verraet der Zielseite normalerweise, von welcher URL aus der Nutzer geklickt hat. noreferrer entfernt dieses Signal, sodass die Zielseite nur einen Besuch sieht und nicht weiss, woher er kam.

Warum es wichtig ist

Privatsphaere. Der Referer-Header kann sensible Informationen aus Ihrer URL durchreichen: eine Kunden-ID im Dashboard-Pfad, eine Suchanfrage in einer Ergebnisseite, ein Token in einem Vorschau-Link. noreferrer verhindert dieses Leck, wenn Nutzer von solchen Seiten ausgehende Links klicken.

Analytics auf der Empfaengerseite. Mit noreferrer zeichnet die Analytics der Zielseite den Besuch als "Direct Traffic" auf, statt ihn Ihrer Website zuzuordnen. Manchmal ist das gewollt (Privatsphaere), manchmal ein Nachteil (Sie tauchen in den Referrer-Reports der Zielseite nicht mehr auf).

Es blockiert auch window.opener. noreferrer impliziert in modernen Browsern noopener und ist damit auf target="_blank"-Links zugleich Tabnabbing-Schutz. Genau deshalb ist rel="noopener noreferrer" zusammen das uebliche Muster.

Was es nicht bewirkt. Ein haeufiger Irrtum: Manche setzen rel="noreferrer" in der Annahme, das verhindere die Vererbung von Link Equity an die Zielseite. Das stimmt nicht. Das Attribut, auf das Google dafuer schaut, ist rel="nofollow" (sowie das neuere rel="ugc" und rel="sponsored"). noreferrer betrifft den Referer-Header, nicht Link Equity. Wenn Sie Google signalisieren wollen, dass Sie diesen Link nicht weiterempfehlen, nutzen Sie rel="nofollow".

Wie es in der Praxis funktioniert

<a href="https://example.com/" rel="noreferrer">
  Beispiel
</a>

Klickt der Nutzer den Link, geht der Request an example.com ohne Referer-Header. Die Zielseite sieht den Besuch, aber nicht die Quell-URL.

Bei Links, die in einem neuen Tab oeffnen, kombinieren Sie es mit noopener, damit die Sicherheitsabsicht explizit im Markup steht:

<a href="https://example.com/" target="_blank" rel="noopener noreferrer">
  Beispiel
</a>

Seitenweite Alternative. Wenn Sie noreferrer-Verhalten fuer alle ausgehenden Links einer Seite wollen, setzen Sie die Referrer Policy auf Dokumentebene:

<meta name="referrer" content="no-referrer" />

Oder im HTTP-Header:

Referrer-Policy: no-referrer

Fuer die meisten Websites ist eine etwas mildere Policy wie strict-origin-when-cross-origin (der moderne Browser-Default) die bessere Wahl: dabei wird bei seitenuebergreifenden Aufrufen nur der Origin gesendet, nicht der vollstaendige Pfad.

Haeufige Fehler:

  • noreferrer mit nofollow verwechseln (zwei Attribute, zwei Aufgaben)
  • noreferrer auf interne Same-Origin-Links setzen, wo es nur Ihren eigenen Analytics schadet
  • Referrer-Policy: no-referrer seitenweit setzen, obwohl nur einzelne Seiten das wirklich brauchen - Sie verlieren dann ueberall die Attributionsdaten zu ausgehenden Klicks

So handhabt webentity das

In einer webentity-Codebase tragen ausgehende target="_blank"-Links per Konvention rel="noopener noreferrer" - gesetzt an jeder Aufrufstelle, nicht nachtraeglich von einem Renderer-Plugin ergaenzt, sodass das Attribut im Markup an jedem Link sichtbar steht.

Auf Seiten, deren URL selbst sensible Parameter enthalten kann (Vorschau-Links, Audit Reports, kundenspezifische Ansichten), ist die Referrer Policy auf Dokumentebene strenger als der globale Default gesetzt - so verraet selbst ein ohne explizites noreferrer geschriebener Link nicht den vollstaendigen Pfad an Dritte.

← Alle Lern-Eintraege