HTMLScriptElement: referrerPolicy プロパティ

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since September 2021.

* Some parts of this feature may have varying levels of support.

referrerPolicyHTMLScriptElement インターフェイスのプロパティで、この <script> 要素の referrerpolicy を反映します。これは、スクリプトとそれがインポートするスクリプトを取得するときにリファラーをどのように設定するかを定義します。

文字列です。以下のいずれかです。

no-referrer

Referer ヘッダーは完全に省略されます。リクエストと共に送信されるリファラー情報はありません。

no-referrer-when-downgrade

プロトコルのセキュリティレベルが変わらない場合(例: HTTP→HTTP、HTTPS→HTTPS)にはリファラーとして URL を送信し、セキュリティレベルの低い宛先(例: HTTPS→HTTP)には送信しません。

origin

どのような場合でも、この文書のオリジンだけをリファラーとして送信します。 文書 https://example.com/page.html はリファラーとして https://example.com/ を送ります。

origin-when-cross-origin

同一オリジンリクエストを行う場合は完全な URL を送信し、それ以外の場合は文書のオリジンのみを送信します。

same-origin

リファラーは同一サイトオリジンには送信されますが、オリジン間リクエストではリファラー情報が送信されません。

strict-origin

プロトコルのセキュリティレベルが変わらない場合(例: HTTPS→HTTPS)だけ、文書のオリジンをリファラーとして送信し、セキュリティレベルの低い宛先(例: HTTPS→HTTP)には送信しないようにします。

strict-origin-when-cross-origin (default)

これは、ポリシーが指定されていない場合のユーザーエージェントの既定の動作です。同一オリジンリクエストを行う場合は完全な URL を送信し、プロトコルのセキュリティレベルが変わらない場合はオリジンのみを送信し(例: HTTPS→HTTPS)、セキュリティレベルの低い宛先にはヘッダーを送信しません(例: HTTPS→HTTP)。

unsafe-url

同一オリジンまたはオリジン間リクエストを実行するときに、完全な URL を送信します。このポリシーは、 TLS で保護されたリソースから安全でないオリジンへのオリジンとパスを漏洩します。 この設定の影響を慎重に検討してください。

メモ: 空文字列の値 ("") は既定値であると同時に、 referrerpolicy が対応していない場合の代替値でもあります。もし <script> 要素に referrerpolicy が明示的に指定されていない場合には、より高いレベルのリファラーポリシー、つまり文書やドメイン全体に設定されているものを採用することになります。上位のポリシーが利用できない場合、空文字列は no-referrer-when-downgrade と同等に扱われます。

js
const scriptElem = document.createElement("script");
scriptElem.src = "/";
scriptElem.referrerPolicy = "unsafe-url";
document.body.appendChild(scriptElem);

仕様書

Specification
HTML
# dom-script-referrerpolicy

ブラウザーの互換性

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
referrerPolicy
no-referrer-when-downgrade
origin-when-cross-origin
unsafe-url

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

関連情報