Referer Reality: HTTP-заголовок, который врет чаще, чем ваш продакт

Вы когда-нибудь доверяли заголовку Referer? Зря. Этот HTTP-старичок, который должен рассказывать, откуда пришел пользователь, на деле — тот еще сказочник. Как Wi-Fi у бабушки: вроде есть, а толку ноль.

Реальность такова: Referer может быть пустым, поддельным, обрезанным или просто неверным. Браузеры, расширения, корпоративные прокси и даже некоторые CDN с радостью выкинут его или заменят на что-то своё. Помните ту боль, когда в аналитике видите "прямой заход" из ниоткуда? Скорее всего, Referer просто решил взять выходной.

Для разработчиков это означает: не стройте критическую логику на Referer. Хотите защитить API от CSRF? Используйте CSRF-токены, а не проверку заголовка. Пытаетесь отследить источник трафика? Запасайтесь куками и UTM-метками, потому что Referer — это как JIRA с 47 столбцами: вроде есть данные, но разобраться невозможно.

Конечно, есть и хорошие новости: современные браузеры внедряют Referrer-Policy, который хоть как-то стандартизирует этот зоопарк. Но пока что каждый пользователь — это маленький снежок, который может в любой момент обрушить вашу воронку аналитики.

Комментарий студии METABYTE: Мы в METABYTE всегда говорим: не верь заголовкам, проверяй данные. Если ваш проект страдает от "магии" Referer, приходите — мы научим вашу аналитику видеть правду. Или хотя бы притворяться.