Google menetapkan "back-button hijacking" sebagai spam

(developers.google.com)

20 poin oleh GN⁺ 2026-04-15 | 7 komentar | Bagikan ke WhatsApp

Tindakan yang membuat pengguna tidak bisa kembali ke halaman semula saat menekan tombol kembali browser, atau malah mengarahkan mereka ke halaman iklan/rekomendasi yang tidak diinginkan
Ditambahkan sebagai kategori pelanggaran kebijakan spam baru yang secara eksplisit melarang ‘back-button hijacking’
Kebijakan ini dijadwalkan mulai berlaku pada 15 Juni 2026, dan pelanggaran dapat dikenai tindakan spam manual atau penurunan peringkat otomatis
Google menilai praktik ini merusak pengalaman pengguna dan mengganggu alur navigasi, sehingga ditetapkan sebagai pelanggaran eksplisit kebijakan malicious practices
Operator situs harus menghapus kode atau skrip eksternal yang memanipulasi riwayat navigasi browser, dan bila perlu dapat memulihkan status melalui permintaan peninjauan ulang di Search Console

Konsep back-button hijacking

Tindakan yang mengganggu upaya pengguna untuk kembali ke halaman semula saat menekan tombol ‘kembali’ di browser
- Situs memanipulasi fungsi navigasi browser sehingga pengguna tidak bisa langsung kembali ke halaman sebelumnya
- Sebagai gantinya, pengguna dipindahkan ke halaman yang belum pernah mereka kunjungi, ditampilkan halaman rekomendasi/iklan yang tidak diinginkan, atau navigasi normal diblokir

Latar belakang penguatan kebijakan dan tindakan untuk operator

Bertujuan menjadikan perlindungan pengalaman pengguna sebagai prioritas utama
- Back-button hijacking mengganggu fungsi browser, merusak alur navigasi yang diharapkan, dan menimbulkan rasa frustrasi serta kesan dimanipulasi pada pengguna
- Praktik seperti ini juga menjadi faktor yang membuat pengguna enggan mengunjungi situs yang tidak dikenal
Google sebelumnya juga telah menyatakan penyisipan halaman yang menipu atau manipulatif sebagai pelanggaran kebijakan Search Essentials,
dan seiring meningkatnya praktik semacam ini, kini ditetapkan sebagai pelanggaran eksplisit kebijakan ‘malicious practices’
Operator situs harus menghapus kode atau skrip yang memanipulasi riwayat navigasi browser milik pengguna
- Karena hal ini bisa berasal dari library eksternal atau platform iklan, perlu memeriksa dan menghapus kode, import, serta pengaturan terkait
Jika visibilitas pencarian dibatasi akibat tindakan manual, pemulihan dapat dilakukan setelah memperbaiki masalah melalui reconsideration request di Search Console
Pertanyaan atau masukan tambahan dapat disampaikan melalui halaman Google Search Central di LinkedIn atau komunitas dukungan

7 komentar

xguru 2026-04-15

Ah, akhirnya!!! Media-media yang melakukan hal begini memang harus kena tindakan tegas

roxie 24 hari lalu

Ini bukan masalah baru, tapi butuh waktu cukup... cukup lama juga ya.

lazydonkey456 2026-04-15

Bukankah seharusnya Google membereskan dulu iklan NSFW, setidaknya -_-?

crawler 2026-04-15

Saya juga pernah masuk ke situs QnA Microsoft, lalu saat menekan tombol kembali malah terjebak dalam loop tak berujung. Saya benar-benar berharap situs-situs seperti ini diperbaiki.

Dari sudut pandang pengguna, terlepas ada redirect atau tidak, kalau menekan tombol kembali seharusnya bisa keluar. Situs-situs seperti ini selalu membuat kita harus menahan tombol kembali lalu keluar lebih dari 2 depth.

roxie 24 hari lalu

Ini benar-benar terasa seperti isu yang hanya bisa disebut sangat bodoh. Saya juga pernah mengalaminya.

eoeoe 2026-04-15

Normalisasi!!

GN⁺ 2026-04-15

Komentar Hacker News

Andai ada fitur di browser untuk menonaktifkan semua shortcut milik situs web
Di Brave aku sudah mengatur Ctrl+E untuk membuka tab baru, tapi situs seperti Discord malah mengubahnya jadi menu emoji, jadi menyebalkan
- Ctrl+F juga bermasalah. Aku ingin mencari kata di halaman, bukan membuka kotak pencarian bawaan situs
- Contoh lain, ada situs yang mengubah ctrl+click agar tidak membuka tab baru, melainkan tetap terbuka di tab saat ini. Terutama sering kulihat di situs e-commerce
- Aku membuat bookmarklet untuk memblokir semua listener input keyboard agar hal seperti ini tidak terjadi. Kalau mau, bisa kubagikan
- Daripada diblok total, akan lebih baik kalau ada sistem izin agar situs harus meminta akses untuk memakai shortcut. Tinggal izinkan hanya situs yang dipercaya
- Di Firefox aku memakai Vimium, jadi shortcut default mengikuti plugin. Misalnya, buka tab baru dengan t, dan kalau mau memakai shortcut situs web masuk dulu ke mode insert dengan i. Tombol yang tidak bentrok seperti ctrl+k tetap bisa dipakai bebas oleh situs, jadi enak
Kebijakan pengindeksan Google belakangan ini makin sulit kupahami
Situsku yang selama beberapa tahun tampil baik tiba-tiba hilang dari indeks. Isinya cuma tulisan blog biasa, tidak ada iklan, HTTPS aktif, dan juga ditautkan dari situs lain
Tapi hasil pencarian Google sekarang makin menjauh dari informasi yang benar-benar dicari. Semoga kebijakan baru ini membawa perbaikan
- Mungkin karena “tidak ada iklan”. Google tidak tertarik menampilkan halaman tanpa iklan
- Ini soal Chrome, bukan pencarian. Google dalam beberapa tahun terakhir mulai menghapus konten dengan traffic rendah. Kalau isinya mirip dengan yang lain, halaman itu tidak akan diindeks terlepas dari otoritas halamannya. Sekarang pencarian makin jadi seperti TikTok. Ringkasan AI, YouTube, berita, peta, dan produk diprioritaskan. Konten sudah mati
Di Firefox ada pengaturan agar halaman tidak bisa memodifikasi riwayat browser
Menurut cara di superuser.com, cukup matikan browser.history.allowPushState di about:config
- Tapi dalam kebanyakan kasus, masalahnya bukan pushstate melainkan halaman memasang redirect otomatis. Jadi kita harus menekan tombol kembali dua kali
- SPA memakai History API untuk mengelola riwayat navigasi internal. Kalau ini diblokir, justru bisa menyebabkan kehilangan data
- Sebagai catatan, sejak Firefox 47 browser.history.allowPushState sudah deprecated. Sekarang masalah situs memanipulasi riwayat hampir tidak ada lagi. Tapi tetap mengejutkan bahwa di Chrome pembajakan tombol kembali masih ada. Aku menyelesaikannya di Firefox dengan UserScript untuk memblokir keycode tertentu
Awalnya kupikir ini tentang Android
Banyak aplikasi Android melakukan pembajakan UX seperti “tekan kembali dua kali untuk keluar”. Aplikasi feed seperti Reddit, TikTok, dan Instagram adalah contoh utamanya
- Aku juga awalnya mengira ini soal Android dan bertanya-tanya kenapa artikel itu terus menyebut “browser”
- Semoga Google benar-benar menerapkan kebijakan seperti ini juga di Android. Yang paling parah justru aplikasi
Aku berharap kebijakan seperti ini dimulai dari LinkedIn
Saat mengklik tautan dari email atau postingan, kita memang masuk ke postingannya, tapi saat menekan kembali justru kembali ke feed.
Ini dilakukan dengan menggabungkan location.replace(...) dan history.pushState() untuk memanipulasi riwayat
- Reddit juga mencegat tombol kembali dengan cara yang sama. Kalau pergi ke postingan Reddit dari Google lalu menekan kembali, malah kembali ke feed utama Reddit
- Gmail juga punya masalah UX serupa. Di judul email undangan ada tombol “Accept” yang bisa terpencet tanpa sengaja saat scrolling
- Aku selalu menyiasatinya dengan membuka tautan di tab baru. Menutup tab kini menjadi tombol kembali versiku. Tab yang tidak menarik tinggal kututup saja
- Facebook juga bekerja seperti ini. Berkat penjelasan itu aku jadi paham mekanismenya
- Tapi masih agak abu-abu apakah cara seperti ini melanggar kebijakan baru. Navigasi berbasis hash mungkin secara teknis masih valid
Situs-situs Microsoft juga parah soal masalah tombol kembali ini
- Azure Portal adalah contoh utama. Menekan kembali di sana rasanya tidak pernah tahu apa yang akan terjadi. Seperti “tombol keberuntungan” di Android
- Tapi dalam kasus MS, ini terasa kurang seperti redirect iklan yang jahat dan lebih seperti masalah desain redirect JS
- Epic Store juga di mobile membuat halaman pembayaran tidak bisa ditinggalkan dengan tombol kembali. Entah disengaja atau cuma kesalahan UX
- Aku juga menemui situs seperti ini kemarin; bahkan menekan kembali dengan cepat pun tidak berhasil, jadi akhirnya kututup saja tabnya
Langkah ini awal yang baik, tapi masih belum cukup
Aku tidak ingin situs mana pun merebut tombol kembali milikku.
Yang paling kubenci terutama popup seperti “Apakah Anda yakin ingin keluar? Anda belum berlangganan newsletter”
- Dalam SPA, kadang ini memang perlu sebagai pengecualian. Jalur perpindahan pengguna di dalam aplikasi harus dilacak dengan benar. Tapi prinsip utamanya tetap “harus bekerja sesuai harapan pengguna”
- Peringatan seperti “Keluar tanpa menyimpan?” memang berguna. Tapi seharusnya ada pengaturan izin per situs
- Dari sudut pandang pengelola aplikasi SaaS, peringatan seperti itu dipakai karena kalau pengguna keluar saat sedang mengisi formulir, datanya bisa hilang. Tapi aku masih memikirkan tindakan mana yang lebih baik dari sudut pandang pengguna
- Memaksa membuka tab baru juga bentuk pembajakan. Hal seperti itu seharusnya dilarang total. Bahkan menurutku perlu ada sanksi hukum
Katanya “pengalaman pengguna adalah prioritas utama”, ironis sekali
Perusahaan yang menampilkan popup “Open in app” yang membingungkan demi mendorong orang memakai aplikasi malah berkata seperti itu
Bacaan terkait: Those obnoxious sign-in windows
Sekarang adalah saat yang tepat untuk kembali mempromosikan pola Post/Redirect/Get
Seperti dijelaskan di Wikipedia, setelah submit formulir lalu melakukan redirect, UX jadi jauh lebih mulus
- Sebagai developer lama, aku sangat menyukai pola ini. Generasi React sekarang tampaknya kurang mengenalnya
- Baru hari ini aku tahu. Ternyata tanpa pola ini, popup “kirim ulang formulir?” bisa muncul. Senang juga jadi tahu namanya
Framework SPA milik Google, Angular, juga bisa menyebabkan pembajakan tombol kembali saat memakai redirect routes
Dijelaskan di dokumentasi resmi Angular
- Namun, routing internal SPA sering kali memang tak terhindarkan demi UX aplikasi. Dalam kasus seperti ini, pembajakan hanya boleh diizinkan sejauh menjaga perpindahan internal tetap alami