HTMLScriptElement: referrerPolicy-Eigenschaft

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since September 2021.

* Some parts of this feature may have varying levels of support.

Die referrerPolicy-Eigenschaft des Interfaces HTMLScriptElement spiegelt die HTML-referrerpolicy der <script>-Element wider, welche definiert, wie der Referer gesetzt wird, wenn das Skript und alle von ihm importierten Skripte abgerufen werden.

Wert

Ein String; einer der folgenden:

no-referrer

Der Referer-Header wird vollständig ausgelassen. Keine Referer-Informationen werden mit Anfragen gesendet.

no-referrer-when-downgrade

Die URL wird als Referer gesendet, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTP→HTTP, HTTPS→HTTPS), jedoch nicht an ein weniger sicheres Ziel (z.B. HTTPS→HTTP) gesendet.

origin

Sendet in allen Fällen nur die Herkunft des Dokuments als Referer. Das Dokument https://example.com/page.html sendet den Referer https://example.com/.

origin-when-cross-origin

Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung, sendet jedoch nur die Herkunft des Dokuments in anderen Fällen.

same-origin

Ein Referer wird für gleichseitige Ursprünge gesendet, aber Anfragen über Ursprungsgrenzen hinweg enthalten keine Referer-Informationen.

strict-origin

Sendet nur die Herkunft des Dokuments als Referer, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTPS→HTTPS), sendet es jedoch nicht an ein weniger sicheres Ziel (z.B. HTTPS→HTTP).

strict-origin-when-cross-origin (Standard)

Dies ist das Standardverhalten des Benutzeragenten, wenn keine Richtlinie angegeben ist. Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung, sendet nur die Herkunft, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTPS→HTTPS) und sendet keinen Header an ein weniger sicheres Ziel (z.B. HTTPS→HTTP).

unsafe-url

Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung oder über Ursprungsgrenzen hinweg. Diese Richtlinie gibt Ursprünge und Pfade von TLS-geschützten Ressourcen an unsichere Ursprünge preis. Überlegen Sie sorgfältig die Auswirkungen dieser Einstellung.

Hinweis: Ein leerer String-Wert ("") ist sowohl der Standardwert als auch ein Fallback-Wert, wenn referrerpolicy nicht unterstützt wird. Wenn referrerpolicy nicht explizit auf dem <script>-Element angegeben wird, wird eine höherstufige Referer-Richtlinie übernommen, d.h. eine, die auf das gesamte Dokument oder die Domain gesetzt ist. Wenn keine höherstufige Richtlinie verfügbar ist, wird der leere String als äquivalent zu no-referrer-when-downgrade behandelt.

Beispiele

js
const scriptElem = document.createElement("script");
scriptElem.src = "/";
scriptElem.referrerPolicy = "unsafe-url";
document.body.appendChild(scriptElem);

Spezifikationen

Specification
HTML
# dom-script-referrerpolicy

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
referrerPolicy
no-referrer-when-downgrade
origin-when-cross-origin
unsafe-url

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch