CSP: referrer
非推奨: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。
非標準: この機能は標準ではなく、標準化の予定もありません。公開されているウェブサイトには使用しないでください。ユーザーによっては使用できないことがあります。実装ごとに大きな差があることもあり、将来は振る舞いが変わるかもしれません。
HTTP の Content-Security-Policy (CSP) における referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー(元の仕様書の綴りミスのため r は単一)の情報を指定するために使用されます。この API は非推奨であり、ブラウザーから削除されました。
メモ: 代わりに Referrer-Policy ヘッダーを使用してください。
構文
http
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy> は以下のいずれかの値になります:
- "no-referrer"
-
Refererヘッダーは完全に除外されます。リファラー情報はリクエストと共に送信されません。 - "none-when-downgrade"
-
これがポリシーが指定されていない場合のユーザーエージェントの既定の動作です。以前と同じ安全性 (HTTPS->HTTPS) の宛先にはオリジンが送信されますが、安全性の低い宛先 (HTTPS->HTTP) には送信されません。
- "origin"
-
すべての場合で、リファラーとして文書ののオリジンのみ送信されます。
https://example.com/page.htmlの文書の場合はhttps://example.com/というリファラーが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
-
同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は文書のオリジンのみ送信されます。
- "unsafe-url"
-
同一オリジンまたはオリジン間のリクエストを実行する際は完全な URL (引数は除外) が送信されます。このポリシーは、 TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスを漏洩させます。この設定の影響を慎重に検討してください。
例
http
Content-Security-Policy: referrer "none";
仕様書
いずれの仕様書の一部でもありません。
ブラウザーの互換性
BCD tables only load in the browser
関連情報
Content-Security-PolicyReferrer-PolicyヘッダーRefererヘッダー