HTTP の Referrer-Policy ヘッダーは、 Referer ヘッダーで送られるリファラー情報を制御し、リクエストが行われる際に含められるものです。
| ヘッダー種別 | レスポンスヘッダー |
|---|---|
| 禁止ヘッダー名 | いいえ |
構文
なお、 Referer は "referrer" のスペルミスです。 Referrer-Policy ヘッダーはこのスペルミスをしていません。
Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Referrer-Policy: strict-origin Referrer-Policy: strict-origin-when-cross-origin Referrer-Policy: unsafe-url
ディレクティブ
- no-referrer
Refererヘッダー全体が省略されます。リクエストとともにリファラー情報が送られることはありません。- no-referrer-when-downgrade (既定値)
- これはポリシーが指定されていない場合のユーザーエージェントの既定の動作です。 URL はプロトコルのセキュリティレベルが同一である場合 (HTTP→HTTP, HTTPS→HTTPS) に送信されますが、セキュリティレベルが低下する場合 (HTTPS→HTTP)、リファラーは送信されません。
- origin
- どのような場合でも、 URL ではなくそのオリジンのみが送信されます。
たとえば、https://example.com/page.htmlというページからは、https://example.com/のみがリファラーとして送信されます。 - origin-when-cross-origin
- 同じオリジン間でリクエストを行う場合は URL 全体を送信しますが、その他の場合は文書のオリジンのみを送信します。
- same-origin
- 同じオリジンにはリファラーが送信されますが、オリジン間リクエストではリファラー情報が含まれません。
- strict-origin
- プロトコルのセキュリティレベルが同じである場合 (HTTPS → HTTPS) にのみ、文書のオリジンをリファラーとして送信しますが、安全性の劣る移動先 (HTTPS → HTTP) には送信しません。
- strict-origin-when-cross-origin
- 同じオリジン間でリクエストを行う際は URL 全体を送信し、プロトコルのセキュリティレベルが同じ場合 (HTTPS → HTTPS) はオリジンを送信し、安全性の劣る移動先 (HTTPS → HTTP) にはヘッダーを送信しません。
- unsafe-url
- 同じオリジンでもオリジン間でも、リクエストを行うときに URL 全体を送信します。
このポリシーは、 TLS で保護されたリソースから安全ではないオリジンへオリジンやパスを漏洩します。設定する場合は影響をよく検討してください。
HTML との統合
HTML 文書内でリファラーポリシーを設定することもできます。例えば、 <meta> 要素で name に referrer を設定します。
<meta name="referrer" content="origin">
または、 <a>, <area>, <img>, <iframe>, <link> の各要素の referrerpolicy 属性を使用します。
<a href="http://example.com" referrerpolicy="origin">
他にも、 a, area, link 要素に noreferrer link 関係を設定することができます。
<a href="http://example.com" rel="noreferrer">
CSS との統合
CSS はスタイルシートから参照されるリソースにアクセスすることがあります。これらのリソースは同様にリファラーポリシーに従います。
外部 CSS スタイルシートは、 CSS スタイルシートに指定する HTTP ヘッダーを通じて上書きされない限り、既定のポリシー (no-referrer-when-downgrade) を使用します。
HTMLElement.style などのインラインスタイルシートや API から生成されたスタイルは、所有者の文書のリファラーポリシーが使用されます。
例
| ポリシー | 移動元 | 移動先 | リファラー |
|---|---|---|---|
no-referrer |
https://example.com/page.html | あらゆるドメインやパス | リファラーなし |
no-referrer-when-downgrade |
https://example.com/page.html | https://example.com/otherpage.html | https://example.com/page.html |
no-referrer-when-downgrade |
https://example.com/page.html | https://mozilla.org | https://example.com/page.html |
no-referrer-when-downgrade |
https://example.com/page.html | http://example.org | リファラーなし |
origin |
https://example.com/page.html | あらゆるドメインやパス | https://example.com/ |
origin-when-cross-origin |
https://example.com/page.html | https://example.com/otherpage.html | https://example.com/page.html |
origin-when-cross-origin |
https://example.com/page.html | https://mozilla.org | https://example.com/ |
origin-when-cross-origin |
https://example.com/page.html | http://example.com/page.html | https://example.com/ |
same-origin |
https://example.com/page.html | https://example.com/otherpage.html | https://example.com/page.html |
same-origin |
https://example.com/page.html | https://mozilla.org | リファラーなし |
strict-origin |
https://example.com/page.html | https://mozilla.org | https://example.com/ |
strict-origin |
https://example.com/page.html | http://example.org | リファラーなし |
strict-origin |
http://example.com/page.html | あらゆるドメインやパス | http://example.com/ |
strict-origin-when-cross-origin |
https://example.com/page.html | https://example.com/otherpage.html | https://example.com/page.html |
strict-origin-when-cross-origin |
https://example.com/page.html | https://mozilla.org | https://example.com/ |
strict-origin-when-cross-origin |
https://example.com/page.html | http://example.org | リファラーなし |
unsafe-url |
https://example.com/page.html?q=123 | あらゆるドメインやパス | https://example.com/page.html?q=123 |
仕様書
| 仕様書 | 状態 |
|---|---|
| Referrer Policy | Editor's draft |
ブラウザーの対応
このページの互換性一覧表は構造化データから生成されています。データに協力していただけるのであれば、 https://github.com/mdn/browser-compat-data をチェックアウトしてプルリクエストを送信してください。
Update compatibility data on GitHub
| デスクトップ | モバイル | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 基本対応 | Chrome 完全対応 56 | Edge 未対応 なし | Firefox 完全対応 50 | IE 未対応 なし | Opera 完全対応 43 | Safari 完全対応 11.1 | WebView Android 完全対応 56 | Chrome Android 完全対応 56 | Edge Mobile 未対応 なし | Firefox Android 完全対応 50 | Opera Android 完全対応 43 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 7.2 |
| same-origin | Chrome 完全対応 61 | Edge 未対応 なし | Firefox 完全対応 52 | IE 未対応 なし | Opera 完全対応 48 | Safari 完全対応 11.1 | WebView Android 完全対応 61 | Chrome Android 完全対応 61 | Edge Mobile 未対応 なし | Firefox Android 完全対応 52 | Opera Android 完全対応 48 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 7.2 |
| strict-origin | Chrome 完全対応 61 | Edge 未対応 なし | Firefox 完全対応 52 | IE 未対応 なし | Opera 完全対応 48 | Safari 完全対応 11.1 | WebView Android 完全対応 61 | Chrome Android 完全対応 61 | Edge Mobile 未対応 なし | Firefox Android 完全対応 52 | Opera Android 完全対応 48 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 7.2 |
| strict-origin-when-cross-origin | Chrome 完全対応 61 | Edge 未対応 なし | Firefox 完全対応 52 | IE 未対応 なし | Opera 完全対応 48 | Safari 完全対応 11.1 | WebView Android 完全対応 61 | Chrome Android 完全対応 61 | Edge Mobile 未対応 なし | Firefox Android 完全対応 52 | Opera Android 完全対応 48 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 7.2 |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
メモ:
- バージョン 53 以降では、 Gecko は
about:configの中でユーザーがReferrer-Policyの既定値を設定できる設定項目 (network.http.referer.userControlPolicy) があります。 - バージョン 59 以降では (#587523 を参照)、これは
network.http.referer.defaultPolicyおよびnetwork.http.referer.defaultPolicy.pbmodeで置き換えられました。
指定可能な値は以下の通りです。
- 0 —
no-referrer - 1 —
same-origin - 2 —
strict-origin-when-cross-origin - 3 —
no-referrer-when-downgrade(既定値)