El envenenamiento de URL, también conocido como envenenamiento de ubicación, es un método para rastrear el comportamiento del usuario de la Web agregando un número de identificación (ID) a la línea de dirección de la página (Localizador de recursos uniforme) del navegador Web cuando un usuario visita un sitio en particular. Este número de identificación se puede utilizar para determinar qué páginas del sitio visita el usuario a partir de entonces. La agregación de este tipo de información puede ser útil para comprender cómo llega un usuario a una página, qué productos o servicios pueden interesarle y correlacionar el comportamiento del usuario con la demografía.
El envenenamiento de URL se parece al uso de cookies. Sin embargo, con el envenenamiento de URL, un usuario no tiene una manera fácil de excluirse. Un servidor que emplea el envenenamiento de URL asigna el ID tan pronto como se visita la primera página del sitio. El navegador web entonces considera que este ID es parte de la URL. La identificación permanece y se registra siempre que el usuario visite otras páginas del mismo sitio. También puede permanecer en el navegador cuando el usuario visita sitios web que cooperan con el sitio original en el seguimiento de la secuencia de la página del usuario. Debido a que es posible que un usuario no quiera que nadie rastree las páginas visitadas, la utilización del envenenamiento de URL es algo controvertido.