Referrer-Policy

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since September 2021.

* Some parts of this feature may have varying levels of support.

Der HTTP Referrer-Policy Response-Header kontrolliert, wie viele Referrer-Informationen (gesendet mit dem Referer-Header) in Anfragen enthalten sein sollen. Abgesehen vom HTTP-Header können Sie diese Richtlinie auch in HTML festlegen.

Header-Typ Response-Header
Verbotener Header-Name Nein

Syntax

http
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

Hinweis: Der Header-Name Referer ist ein Schreibfehler des Wortes "referrer". Der Referrer-Policy-Header teilt diesen Schreibfehler nicht.

Direktiven

no-referrer

Der Referer-Header wird weggelassen: gesendete Anfragen enthalten keine Referrer-Informationen.

no-referrer-when-downgrade

Senden Sie den Origin, Pfad und Query-String im Referer, wenn das Sicherheitsniveau des Protokolls gleich bleibt oder sich verbessert (HTTP→HTTP, HTTP→HTTPS, HTTPS→HTTPS). Senden Sie den Referer-Header nicht für Anfragen zu weniger sicheren Zielen (HTTPS→HTTP, HTTPS→file).

origin

Senden Sie nur den Origin im Referer-Header. Zum Beispiel wird ein Dokument unter https://example.com/page.html den Referrer https://example.com/ senden.

origin-when-cross-origin

Wenn eine same-origin-Anfrage an das gleiche Protokolllevel ausgeführt wird (HTTP→HTTP, HTTPS→HTTPS), senden Sie den Origin, Pfad und Query-String. Senden Sie nur den Origin für Cross-Origin-Anfragen und Anfragen zu weniger sicheren Zielen (HTTPS→HTTP).

same-origin

Senden Sie den Origin, Pfad und Query-String für same-origin-Anfragen. Senden Sie den Referer-Header nicht für Cross-Origin-Anfragen.

strict-origin

Senden Sie nur den Origin, wenn das Sicherheitsniveau des Protokolls gleich bleibt (HTTPS→HTTPS). Senden Sie den Referer-Header nicht zu weniger sicheren Zielen (HTTPS→HTTP).

strict-origin-when-cross-origin (Standard)

Senden Sie den Origin, Pfad und Query-String, wenn eine Same-Origin-Anfrage ausgeführt wird. Für Cross-Origin-Anfragen senden Sie nur den Origin, wenn das Sicherheitsniveau des Protokolls gleich bleibt (HTTPS→HTTPS). Senden Sie den Referer-Header nicht zu weniger sicheren Zielen (HTTPS→HTTP).

Hinweis: Dies ist die Standardeinstellung, wenn keine Richtlinie angegeben ist oder wenn der bereitgestellte Wert ungültig ist (siehe Spezifikationsüberarbeitung November 2020). Zuvor war der Standard no-referrer-when-downgrade.

unsafe-url

Senden Sie den Origin, Pfad und Query-String bei jeder Anfrage, unabhängig von der Sicherheit.

Warnung: Diese Richtlinie kann potenziell private Informationen von HTTPS-Ressourcen-URLs an unsichere Ursprünge preisgeben. Überlegen Sie sorgfältig, welche Auswirkungen diese Einstellung hat.

Integration mit HTML

Sie können Referrer-Richtlinien auch innerhalb von HTML festlegen. Zum Beispiel können Sie die Referrer-Richtlinie für das gesamte Dokument mit einem <meta>-Element mit einem name von referrer festlegen:

html
<meta name="referrer" content="origin" />

Sie können das referrerpolicy-Attribut auf <a>, <area>, <img>, <iframe>, <script> oder <link>-Elementen angeben, um individuelle Anfragen mit Referrer-Richtlinien zu versehen:

html
<a href="http://example.com" referrerpolicy="origin"></a>

Alternativ können Sie eine noreferrer-Linkrelation auf a, area oder link-Elementen setzen:

html
<a href="http://example.com" rel="noreferrer"></a>

Warnung: Wie oben gezeigt, wird die noreferrer-Linkrel ohne Bindestrich geschrieben. Wenn Sie die Referrer-Richtlinie für das gesamte Dokument mit einem <meta>-Element angeben, sollte sie mit Bindestrich geschrieben werden: <meta name="referrer" content="no-referrer">.

Integration mit CSS

CSS kann Ressourcen abrufen, die in Stylesheets referenziert werden. Diese Ressourcen folgen ebenfalls einer Referrer-Richtlinie:

  • Externe CSS-Stylesheets verwenden die Standardrichtlinie (strict-origin-when-cross-origin), es sei denn, sie wird durch einen Referrer-Policy-HTTP-Header in der Antwort des CSS-Stylesheets überschrieben.
  • Für <style>-Elemente oder style-Attribute wird die Referrer-Richtlinie des eigenen Dokuments verwendet.

Beispiele

no-referrer

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page überall (kein Referrer)

no-referrer-when-downgrade

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page https://example.com/otherpage https://example.com/page
https://example.com/page https://mozilla.org https://example.com/page
https://example.com/page http://example.com (kein Referrer)
http://example.com/page überall http://example.com/page

origin

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page überall https://example.com/

origin-when-cross-origin

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page https://example.com/otherpage https://example.com/page
https://example.com/page https://mozilla.org https://example.com/
https://example.com/page http://example.com/page https://example.com/

same-origin

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page https://example.com/otherpage https://example.com/page
https://example.com/page https://mozilla.org (kein Referrer)

strict-origin

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page https://mozilla.org https://example.com/
https://example.com/page http://example.com (kein Referrer)
http://example.com/page überall http://example.com/

strict-origin-when-cross-origin

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page https://example.com/otherpage https://example.com/page
https://example.com/page https://mozilla.org https://example.com/
https://example.com/page http://example.com (kein Referrer)

unsafe-url

Vom Dokument Navigation zu Verwendeter Referrer
https://example.com/page?q=123 überall https://example.com/page?q=123

Fallback-Richtlinie angeben

Wenn Sie eine Fallback-Richtlinie angeben möchten, falls die gewünschte Richtlinie nicht ausreichend Browser-Unterstützung hat, verwenden Sie eine durch Kommas getrennte Liste, wobei die gewünschte Richtlinie zuletzt angegeben wird:

http
Referrer-Policy: no-referrer, strict-origin-when-cross-origin

Im obigen Szenario wird no-referrer nur verwendet, wenn der Browser die strict-origin-when-cross-origin-Richtlinie nicht unterstützt.

Hinweis: Die Angabe mehrerer Werte wird nur im Referrer-Policy-HTTP-Header unterstützt und nicht im referrerpolicy-Attribut.

Browserspezifische Einstellungen

Firefox-Einstellungen

Sie können die Standard-Referrer-Richtlinie in den Firefox-Einstellungen konfigurieren. Die Namen der Einstellungen sind versionsspezifisch:

  • Firefox Version 59 und höher: network.http.referer.defaultPolicy (und network.http.referer.defaultPolicy.pbmode für private Netzwerke)
  • Firefox Versionen 53 bis 58: network.http.referer.userControlPolicy

Alle diese Einstellungen verwenden denselben Satz von Werten: 0 = no-referrer, 1 = same-origin, 2 = strict-origin-when-cross-origin, 3 = no-referrer-when-downgrade.

Spezifikationen

Specification
Referrer Policy
# referrer-policy-header

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Referrer-Policy
Default policy is strict-origin-when-cross-origin
no-referrer-when-downgrade
origin-when-cross-origin
same-origin
strict-origin
strict-origin-when-cross-origin
unsafe-url

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch