CSP: referrer

廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。

HTTP Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (単一の r が元の仕様のタイポだったため)の情報を指定するために使用されます。この API は推奨されず、ブラウザから削除されました。

Referrer-Policy ヘッダーを代わりに使用します。

構文

Content-Security-Policy: referrer <referrer-policy>;

<referrer-policy> は以下のいずれかの値になります:

"no-referrer"
Referer ヘッダーは完全に除外されます。リファラ情報はリクエストと共に送信されません。
"none-when-downgrade"
これはポリシーが指定されていないときのユーザーエージェントのデフォルトの挙動です。オリジンはリファラとして先天的に安全性の高い宛先(HTTPS->HTTPS)に送信されますが、 安全性の低い宛先(HTTPS->HTTP)には送信されません。
"origin"
全てのケースで、リファラとして document のオリジンのみ送信されます。
ドキュメント https://example.com/page.html は https://example.com/ というリファラが送信されます。
"origin-when-cross-origin" / "origin-when-crossorigin"
同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は document のオリジンのみ送信されます。
"unsafe-url"
同一オリジン または クロスオリジンを実行する際は完全な URL(パラメータから除外)が送信されます。このポリシーは、TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスをリークさせます。この設定の影響を慎重に検討してください。

Content-Security-Policy: referrer "none";

仕様

いずれの仕様の一部でもありません。

ブラウザ互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeEdge MobileAndroid 版 FirefoxAndroid 版 OperaiOS 版 SafariSamsung Internet
基本対応
非推奨非標準
Chrome 未対応 33 — 56Edge 未対応 なしFirefox 未対応 37 — 62IE 未対応 なしOpera 未対応 ? — 43Safari 未対応 なしWebView Android 未対応 37 — 56Chrome Android 未対応 33 — 56Edge Mobile 未対応 なしFirefox Android 未対応 37 — 62Opera Android 未対応 ? — 43Safari iOS 未対応 なしSamsung Internet Android 完全対応 あり

凡例

完全対応  
完全対応
未対応  
未対応
非標準。ブラウザー間の互換性が低い可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
非推奨。新しいウェブサイトでは使用しないでください。
非推奨。新しいウェブサイトでは使用しないでください。

参照

ドキュメントのタグと貢献者

このページの貢献者: k-kuwahara
最終更新者: k-kuwahara,