非推奨
この機能はウェブ標準から削除されました。まだ対応しているプラウザーがあるかもしれませんが、ゆくゆくはなくなるものです。使用を避け、できれば既存のコードを更新してください。このページの下部にあるブラウザーの対応を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。
HTTP の Content-Security-Policy (CSP) の referrer ディレクティブは、ページから離れたリンクの Referer ヘッダー (元の仕様書の綴りミスのため r は単一) の情報を指定するために使用されます。この API は非推奨であり、ブラウザーから削除されました。
代わりに Referrer-Policy ヘッダーを使用してください。
構文
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy> は以下のいずれかの値になります:
- "no-referrer"
Refererヘッダーは完全に除外されます。リファラー情報はリクエストと共に送信されません。- "none-when-downgrade"
- これがポリシーが指定されていない場合のユーザーエージェントの既定の動作です。以前と同じ安全性 (HTTPS->HTTPS) の宛先にはオリジンが送信されますが、安全性の低い宛先 (HTTPS->HTTP) には送信されません。
- "origin"
- すべての場合で、リファラーとして文書ののオリジンのみ送信されます。
https://example.com/page.htmlの文書の場合はhttps://example.com/というリファラーが送信されます。 - "origin-when-cross-origin" / "origin-when-crossorigin"
- 同一オリジンのリクエストを実行する際は完全な URL が送信されますが、それ以外の場合は文書のオリジンのみ送信されます。
- "unsafe-url"
- 同一オリジンまたはオリジン間のリクエストを実行する際は完全な URL (引数は除外) が送信されます。このポリシーは、 TLS で保護されたリソースから保護されていないオリジンへのオリジンとパスを漏洩させます。この設定の影響を慎重に検討してください。
例
Content-Security-Policy: referrer "none";
仕様書
いずれの仕様書の一部でもありません。
ブラウザーの互換性
No compatibility data found. Please contribute data for "http.headers.csp.referrer" (depth: 1) to the MDN compatibility data repository.
関連情報
Content-Security-PolicyReferrer-PolicyヘッダーRefererヘッダー