CSP: referrer
非推奨: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。
非標準: この機能は標準ではなく、標準化の予定もありません。公開されているウェブサイトには使用しないでください。ユーザーによっては使用できないことがあります。実装ごとに大きな差があることもあり、将来は振る舞いが変わるかもしれません。
HTTP の Content-Security-Policy
(CSP) における referrer
ディレクティブは、ページから離れたリンクの Referer
ヘッダー(元の仕様書の綴りミスのため r
は単一)の情報を指定するために使用されます。この API は非推奨であり、ブラウザーから削除されました。
メモ: 代わりに Referrer-Policy
ヘッダーを使用してください。
構文
http
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy>
は以下のいずれかの値になります:
- "no-referrer"
-
Referer
ヘッダーは完全に除外されます。リファラー情報はリクエストと共に送信されません。 - "none-when-downgrade"
-
これがポリシーが指定されていない場合のユーザーエージェントの既定の動作です。以前と同じ安全性 (HTTPS->HTTPS) の宛先にはオリジンが送信されますが、安全性の低い宛先 (HTTPS->HTTP) には送信されません。
- "origin"
-
すべての場合で、リファラーとして文書ののオリジンのみ送信されます。
https://example.com/page.html
の文書の場合はhttps://example.com/
というリファラーが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
-
同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は文書のオリジンのみ送信されます。
- "unsafe-url"
-
同一オリジンまたはオリジン間のリクエストを実行する際は完全な URL (引数は除外) が送信されます。このポリシーは、 TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスを漏洩させます。この設定の影響を慎重に検討してください。
例
http
Content-Security-Policy: referrer "none";
仕様書
いずれの仕様書の一部でもありません。
ブラウザーの互換性
BCD tables only load in the browser
関連情報
Content-Security-Policy
Referrer-Policy
ヘッダーReferer
ヘッダー