廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。
HTTP Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (単一の r が元の仕様のタイポだったため)の情報を指定するために使用されます。この API は推奨されず、ブラウザから削除されました。
Referrer-Policy ヘッダーを代わりに使用します。
構文
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy> は以下のいずれかの値になります:
- "no-referrer"
Refererヘッダーは完全に除外されます。リファラ情報はリクエストと共に送信されません。- "none-when-downgrade"
- これはポリシーが指定されていないときのユーザーエージェントのデフォルトの挙動です。オリジンはリファラとして先天的に安全性の高い宛先(HTTPS->HTTPS)に送信されますが、 安全性の低い宛先(HTTPS->HTTP)には送信されません。
- "origin"
- 全てのケースで、リファラとして document のオリジンのみ送信されます。
ドキュメントhttps://example.com/page.htmlはhttps://example.com/というリファラが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
- 同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は document のオリジンのみ送信されます。
- "unsafe-url"
- 同一オリジン または クロスオリジンを実行する際は完全な URL(パラメータから除外)が送信されます。このポリシーは、TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスをリークさせます。この設定の影響を慎重に検討してください。
例
Content-Security-Policy: referrer "none";
仕様
いずれの仕様の一部でもありません。
ブラウザ互換性
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
Update compatibility data on GitHub
| デスクトップ | モバイル | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 基本対応 | Chrome 未対応 33 — 56 | Edge 未対応 なし | Firefox 未対応 37 — 62 | IE 未対応 なし | Opera 未対応 ? — 43 | Safari 未対応 なし | WebView Android 未対応 37 — 56 | Chrome Android 未対応 33 — 56 | Edge Mobile 未対応 なし | Firefox Android 未対応 37 — 62 | Opera Android 未対応 ? — 43 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 あり |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 非推奨。新しいウェブサイトでは使用しないでください。
- 非推奨。新しいウェブサイトでは使用しないでください。
参照
Content-Security-PolicyReferrer-PolicyヘッダーRefererヘッダー