Referrer-Policy

HTTP の Referrer-Policy ヘッダーは、 (Referer ヘッダーによって送られる) リファラー情報をリクエストにどれだけ含めるかを制御します。

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

no-referrer

Referer ヘッダー全体が省略されます。リクエストとともにリファラー情報が送られることはありません。

no-referrer-when-downgrade (既定値)

これはポリシーが指定されていない場合や、与えられた値が無効であった場合の既定の動作です。プロトコルのセキュリティ水準が同一である場合 (HTTP→HTTP, HTTPS→HTTPS) または改善される場合 (HTTP→HTTPS) は、 URL のオリジン、パス、クエリ文字列がリファラーとして送信されますが、低下する場合 (HTTPS→HTTP) は、リファラーは送信されません。

ブラウザーはより厳格な既定値、すなわち strict-origin-when-cross-origin (https://github.com/whatwg/fetch/pull/952 を参照) に移行するよう取り組んでいますが、 Referrer-Policy を変更する際には、可能であればこの値 (またはより厳格な値) を使用することを検討してください。

origin

文書のオリジンのみがリファラーとして送信されます。
たとえば、 https://example.com/page.html にある文書からは、 https://example.com/ というリファラーが送信されます。

origin-when-cross-origin

同一オリジン間でリクエストを行う場合はオリジン、パス、クエリ文字列を送信しますが、その他の場合は文書のオリジンのみを送信します。

same-origin

同じオリジンにはリファラーが送信されますが、オリジン間リクエストではリファラー情報が送信されません。

strict-origin

プロトコルのセキュリティ水準が同じである場合 (HTTPS→HTTPS) にのみ、文書のオリジンをリファラーとして送信しますが、安全性の劣る移動先 (HTTPS→HTTP) には送信しません。

strict-origin-when-cross-origin

同じオリジン間でリクエストを行う際はオリジン、パス、クエリ文字列を送信し、オリジン間リクエストを行う際にプロトコルのセキュリティレベルが同じ場合 (HTTPS→HTTPS) はオリジンを送信し、安全性の劣る送信先 (HTTPS→HTTP) にはヘッダーを送信しません。

unsafe-url

セキュリティに関係なく、どのリクエストを行った場合でも、オリジン、パス、クエリ文字列を送信します。

このポリシーは、 HTTPS リソースの URL から安全ではないオリジンへプライベートである可能性がある情報を漏洩します。設定する場合は影響をよく検討してください。

HTML 内でリファラーポリシーを設定することもできます。例えば、 <meta> 要素で name に referrer を設定することで、文書全体のリファラーポリシーを設定することができます。

<meta name="referrer" content="origin">

また、 <a>, <area>, <img>, <iframe>, <script>, <link> の各要素の referrerpolicy 属性によって、個別のリクエストに設定することもできます。

<a href="http://example.com" referrerpolicy="origin">

他に、 noreferrer link 関係を a, area, link の各要素に設定することもできます。

<a href="http://example.com" rel="noreferrer">

CSS はスタイルシートから参照されるリソースにアクセスすることがあります。これらのリソースは同様にリファラーポリシーに従います。

• 外部 CSS スタイルシートは、 CSS スタイルシートに指定する HTTP ヘッダーを通じて上書きされない限り、既定のポリシー (no-referrer-when-downgrade) を使用します。
• <style> 要素または style 属性については、所有者の文書のリファラーポリシーが使用されます。

必要なポリシーのブラウザーの対応状況が十分ではなく、代替ポリシーを設定したい場合は、カンマ区切りのリストを使用し、必要なポリシーを最後に指定してください。

Referrer-Policy: no-referrer, strict-origin-when-cross-origin

上記のシナリオでは、 no-referrer はブラウザーが strict-origin-when-cross-origin に対応していない場合のみ使用されます。

複数の値を設定する方法は、 HTTP の Referrer-Policy ヘッダーのみが対応しており、 referrerpolicy 属性では対応していません。

• Wikipedia の HTTP リファラ
• Fetch の使用時: Request.referrerPolicy (en-US)
• 廃止された Content-Security-Policy referrer  ディレクティブ
• 同一オリジンポリシー

• Tighter Control Over Your Referrers – Mozilla Security Blog