CSP: referrer

廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。

HTTP Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (単一の r が元の仕様のタイポだったため)の情報を指定するために使用されます。この API は推奨されず、ブラウザから削除されました。

Referrer-Policy ヘッダーを代わりに使用します。

構文

Content-Security-Policy: referrer <referrer-policy>;

<referrer-policy> は以下のいずれかの値になります:

"no-referrer"
Referer ヘッダーは完全に除外されます。リファラ情報はリクエストと共に送信されません。
"none-when-downgrade"
これはポリシーが指定されていないときのユーザーエージェントのデフォルトの挙動です。オリジンはリファラとして先天的に安全性の高い宛先(HTTPS->HTTPS)に送信されますが、 安全性の低い宛先(HTTPS->HTTP)には送信されません。
"origin"
全てのケースで、リファラとして document のオリジンのみ送信されます。
ドキュメント https://example.com/page.html は https://example.com/ というリファラが送信されます。
"origin-when-cross-origin" / "origin-when-crossorigin"
同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は document のオリジンのみ送信されます。
"unsafe-url"
同一オリジン または クロスオリジンを実行する際は完全な URL(パラメータから除外)が送信されます。このポリシーは、TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスをリークさせます。この設定の影響を慎重に検討してください。

Content-Security-Policy: referrer "none";

仕様

いずれの仕様の一部でもありません。

ブラウザ互換性

機能ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本対応33 — 56 なし37 — 62 なし あり — 43 なし
機能Android webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
基本対応33 — 5633 — 56 なし37 — 62 あり — 43 なし あり

参照

ドキュメントのタグと貢献者

このページの貢献者: k-kuwahara
最終更新者: k-kuwahara,