Referrer-Policy untuk Website Bisnis Indonesia: Cara Atur Header Privasi Tanpa Kehilangan Sinyal Tracking di 2026

TL;DR: Pasang header Referrer-Policy: strict-origin-when-cross-origin di response server. Nilai ini mengirim origin penuh ke same-origin, hanya origin (tanpa path) ke cross-origin via HTTPS, dan tidak ada apa-apa ke HTTP. Privasi terjaga, sinyal rujukan di analytics tetap akurat. Kombinasikan dengan CSP, HSTS, dan Permissions-Policy untuk baseline keamanan 2026.

Saat saya melakukan audit privasi pada beberapa website bisnis di Indonesia sepanjang Q1 2026, satu temuan berulang muncul. Banyak halaman checkout dan halaman akun internal mengirim path lengkap (termasuk ID order, email parameter, atau token referral) ke server iklan, widget chat, dan pixel analytics pihak ketiga. Penyebabnya satu: tidak ada header Referrer-Policy yang diset secara eksplisit.

Browser modern memang sudah default ke strict-origin-when-cross-origin, tapi mengandalkan default browser bukan strategi keamanan. Header eksplisit di server adalah satu-satunya jaminan konsisten lintas browser dan versi.

Apa yang Bocor Kalau Header Tidak Diset

Sebelum 2020, default banyak browser adalah no-referrer-when-downgrade yang mengirim URL lengkap kecuali saat HTTPS turun ke HTTP. URL seperti https://shop.example.com/order/INV-2024-08-12345?promo=AGUSTUS50 akan utuh terkirim ke setiap iframe iklan, skrip pixel, dan link eksternal yang diklik user. Konsekuensinya: nomor order bisa terlihat di log pesaing yang memuat skrip iklan sama, kode promo bisa ter-replay, dan struktur URL internal menjadi peta jalan untuk reconnaissance.

Per Mei 2026, semua browser arus utama sudah memakai strict-origin-when-cross-origin sebagai default. Tapi beberapa enterprise browser, in-app webview di aplikasi mobile, dan crawler bot belum tentu mengikuti. Header eksplisit menutup ketidakpastian itu.

Memilih Nilai yang Tepat

Untuk website bisnis Indonesia, rekomendasi: pasang strict-origin-when-cross-origin global, lalu override dengan no-referrer di halaman akun atau halaman dengan token URL via meta tag per halaman.

Studi Kasus: Yuanita Sekar

Saat saya bantu Yuanita Sekar, klien personal branding di portfolio Vito Atmo, menstabilkan setup analytics, kami menemukan bahwa parameter UTM di URL artikel bocor ke widget chat pihak ketiga. Kami pasang Referrer-Policy: strict-origin-when-cross-origin di header Vercel via vercel.json. Hasilnya: parameter UTM tetap terbaca [[Google Tag Manager](/glosarium/google-tag-manager)](/glosarium/gtm) lokal (karena same-origin), tapi tidak lagi muncul di log widget chat. Dwell time dan conversion tracking tidak terpengaruh.

Implementasi di Vercel hanya 3 baris JSON. Di Nginx satu baris add_header. Di WordPress sebuah plugin security header bisa otomatis. Tidak ada alasan teknis menunda.

Hubungan dengan Stack Keamanan Lain

Referrer-Policy menjadi pilar privasi dalam quartet header yang saya rekomendasikan untuk baseline 2026: CSP, HSTS, Permissions-Policy, dan Referrer-Policy itu sendiri. CSP mengontrol resource. HSTS mengunci HTTPS. Permissions-Policy membatasi API browser. Referrer-Policy menjaga path URL.

Untuk audit menyeluruh, Mozilla Observatory memberi grade A+ jika keempat header ini terpasang benar. Banyak Technical SEO tool juga mulai mempertimbangkan kelengkapan security header sebagai salah satu signal kualitas situs.

Bagaimana dengan UU PDP dan GDPR?

Per UU PDP yang berlaku penuh sejak Oktober 2024 di Indonesia, organisasi wajib menerapkan tindakan teknis yang wajar untuk melindungi data pribadi. URL yang berisi identifier pengguna (email, ID order, token reset password) termasuk data yang seharusnya tidak bocor ke pihak ketiga. GDPR di Eropa juga menempatkan referrer leakage sebagai temuan dalam audit privasi rutin. Header Referrer-Policy adalah kontrol teknis paling murah yang menutup celah ini.

Pertanyaan Umum

Apakah Referrer-Policy mempengaruhi SEO?

Tidak secara langsung. Search engine crawler tidak mengandalkan header Referer untuk indexing. Yang terpengaruh hanya laporan rujukan trafik di Google Analytics, dan dampaknya minim untuk nilai strict-origin-when-cross-origin.

Bisa beda nilai untuk halaman berbeda?

Bisa. Pasang nilai global di server, lalu override per halaman lewat <meta name="referrer" content="no-referrer"> untuk halaman sensitif.

Bagaimana mengetahui header sudah aktif?

Buka DevTools, tab Network, klik dokumen utama, lihat Response Headers. Atau scan via Mozilla Observatory untuk audit lengkap.

Apakah ini mempengaruhi affiliate tracking?

Affiliate yang mengandalkan path URL referrer akan kehilangan detail. Solusi: pakai parameter UTM atau redirect via domain affiliate sendiri agar tracking tetap akurat tanpa mengandalkan path bocor.

Penutup: Header Tiga Baris yang Sering Dilupakan

Referrer-Policy adalah satu dari sedikit kontrol keamanan yang biaya implementasinya kurang dari 10 menit dengan dampak privasi langsung terukur. Pasang sekarang sebagai bagian dari quartet header keamanan 2026. Anda akan terhindar dari bocoran path URL ke ekosistem pihak ketiga, tanpa harus berdebat soal cookie banner atau consent management.