廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。
HTTP の Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (元の仕様書の綴りミスのため r は単一) の情報を指定するために使用されます。この API は非推奨であり、ブラウザーから削除されました。
代わりに Referrer-Policy ヘッダーを使用してください。
構文
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy> は以下のいずれかの値になります:
- "no-referrer"
Refererヘッダーは完全に除外されます。リファラー情報はリクエストと共に送信されません。- "none-when-downgrade"
- これがポリシーが指定されていない場合のユーザーエージェントの既定の動作です。以前と同じ安全性 (HTTPS->HTTPS) の宛先にはオリジンが送信されますが、安全性の低い宛先 (HTTPS->HTTP) には送信されません。
- "origin"
- すべての場合で、リファラーとして文書ののオリジンのみ送信されます。
https://example.com/page.htmlの文書の場合はhttps://example.com/というリファラーが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
- 同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は文書のオリジンのみ送信されます。
- "unsafe-url"
- 同一オリジンまたはオリジン間のリクエストを実行する際は完全な URL (引数は除外) が送信されます。このポリシーは、 TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスを漏洩させます。この設定の影響を慎重に検討してください。
例
Content-Security-Policy: referrer "none";
仕様書
いずれの仕様書の一部でもありません。
ブラウザーの互換性
このページの互換性一覧表は構造化データから生成されています。データに協力していただけるのであれば、 https://github.com/mdn/browser-compat-data をチェックアウトしてプルリクエストを送信してください。
No compatibility data found. Please contribute data for "http.headers.csp.referrer" (depth: 1) to the MDN compatibility data repository.
関連情報
Content-Security-PolicyReferrer-PolicyヘッダーRefererヘッダー