廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。
HTTP Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (単一の r が元の仕様のタイポだったため)の情報を指定するために使用されます。この API は推奨されず、ブラウザから削除されました。
Referrer-Policy ヘッダーを代わりに使用します。
構文
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy> は以下のいずれかの値になります:
- "no-referrer"
Refererヘッダーは完全に除外されます。リファラ情報はリクエストと共に送信されません。- "none-when-downgrade"
- これはポリシーが指定されていないときのユーザーエージェントのデフォルトの挙動です。オリジンはリファラとして先天的に安全性の高い宛先(HTTPS->HTTPS)に送信されますが、 安全性の低い宛先(HTTPS->HTTP)には送信されません。
- "origin"
- 全てのケースで、リファラとして document のオリジンのみ送信されます。
ドキュメントhttps://example.com/page.htmlはhttps://example.com/というリファラが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
- 同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は document のオリジンのみ送信されます。
- "unsafe-url"
- 同一オリジン または クロスオリジンを実行する際は完全な URL(パラメータから除外)が送信されます。このポリシーは、TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスをリークさせます。この設定の影響を慎重に検討してください。
例
Content-Security-Policy: referrer "none";
仕様
いずれの仕様の一部でもありません。
ブラウザ互換性
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| 機能 | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| 基本対応 | 33 — 56 | なし | 37 — 62 | なし | あり — 43 | なし |
| 機能 | Android webview | Chrome for Android | Edge mobile | Firefox for Android | Opera Android | iOS Safari | Samsung Internet |
|---|---|---|---|---|---|---|---|
| 基本対応 | 33 — 56 | 33 — 56 | なし | 37 — 62 | あり — 43 | なし | あり |
参照
Content-Security-PolicyReferrer-PolicyヘッダーRefererヘッダー