Referrer-Policy

ジャンプ先:
  1. 構文
  2. ディレクティブ
  4. 仕様
  5. ブラウザ互換性
  6. 関連情報

Referrer-Policyは、リクエスト時にRefererヘッダから送られるリファラー情報を制御するHTTPヘッダです。

Header type Response header
Forbidden header name no

構文

Refererは"referrer"のスペルミスです。Referrer-Policyヘッダは正しいスペルを使用しています。

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

ディレクティブ

no-referrer
Refererヘッダが省かれます。リクエストとともにリファラ情報が送られることはありません。
no-referrer-when-downgrade(デフォルト)
プロトコルのセキュリティレベルが同一である場合(HTTP→HTTP、HTTPS→HTTPS)、URLが送信されますが、セキュリティレベルが低下する場合(HTTPS→HTTP)、リファラは送信されません。他のポリシーが指定されていない場合、このディレクティブがデフォルトです。
origin
どのような場合でも、URLではなくそのオリジンのみが送信されます。
たとえば、https://example.com/page.html というページからは、https://example.com/のみがリファラとして送信されます。
origin-when-cross-origin
同一オリジンの場合はURLを送信しますが、クロスオリジンの場合はオリジンのみを送信します。
same-origin
同一オリジンの場合のみリファラーが送られます。クロスオリジンの場合リファラーは含まれません。
strict-origin
安全とされているオリジンへの移動時(HTTPS→HTTPS)にのみ、文書のオリジンをリファラーとして送信します。安全でないオリジンへの移動時(HTTP→HTTP)には、リファラーが含まれません。
strict-origin-when-cross-origin
同一オリジンでのリクエストの場合にはURLを送信し、安全なオリジンへの移動時(HTTPS→HTTPS)にはオリジンを送信します。安全でないオリジンへの移動時(HTTPS→HTTP)にはリファラーを送信しません。
unsafe-url
同一オリジンかクロスオリジンかに関わらず、URLを送信します。
このポリシーは安全でないオリジンへの移動においてもURLを送信してしまいます。このポリシーの使用の前に、影響について十分に検討してください。

ポリシー 移動元 移動先 リファラー
no-referrer https://example.com/page.html いかなるドメインやパス リファラーなし
no-referrer-when-downgrade https://example.com/page.html https://example.com/otherpage.html https://example.com/page.html
no-referrer-when-downgrade https://example.com/page.html https://mozilla.org https://example.com/page.html
no-referrer-when-downgrade https://example.com/page.html http://example.org リファラーなし
origin https://example.com/page.html いかなるドメインやパス https://example.com/
origin-when-cross-origin https://example.com/page.html https://example.com/otherpage.html https://example.com/page.html
origin-when-cross-origin https://example.com/page.html https://mozilla.org https://example.com/
origin-when-cross-origin https://example.com/page.html http://example.com/page.html https://example.com/
same-origin https://example.com/page.html https://example.com/otherpage.html https://example.com/page.html
same-origin https://example.com/page.html https://mozilla.org リファラーなし
strict-origin https://example.com/page.html https://mozilla.org https://example.com/
strict-origin https://example.com/page.html http://example.org リファラーなし
strict-origin http://example.com/page.html いかなるドメインやパス http://example.com/
strict-origin-when-cross-origin https://example.com/page.html https://example.com/otherpage.html https://example.com/page.html
strict-origin-when-cross-origin https://example.com/page.html https://mozilla.org https://example.com/
strict-origin-when-cross-origin https://example.com/page.html http://example.org リファラーなし
unsafe-url https://example.com/page.html?q=123 いかなるドメインやパス https://example.com/page.html?q=123

仕様

Specification Status
Referrer Policy Editor's draft

ブラウザ互換性

機能ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本対応56 なし50 なし なし なし
same-origin61 なし52 なし48 なし
strict-origin61 なし52 なし48 なし
strict-origin-when-cross-origin61 なし52 なし48 なし
機能Android webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
基本対応5656 なし50 なし なし6.0
same-origin6161 なし5248 なし なし
strict-origin6161 なし5248 なし なし
strict-origin-when-cross-origin6161 なし5248 なし なし

Note:

  • From version 53 onwards, Gecko has a pref available in about:config to allow users to set their default Referrer-Policy network.http.referer.userControlPolicy.
  • From version 59 onwards (See #587523), this has been replaced by network.http.referer.defaultPolicy and network.http.referer.defaultPolicy.pbmode.

Possible values are:

  • 0 — no-referrer
  • 1 — same-origin
  • 2 — strict-origin-when-cross-origin
  • 3 — no-referrer-when-downgrade (the default)

関連情報

ドキュメントのタグと貢献者

このページの貢献者: myakura
最終更新者: myakura,