--- title: Referrer-Policy slug: Web/HTTP/Headers/Referrer-Policy tags: - HTTP - HTTP ヘッダー - Reference - Referrer-Policy - Response - referrer - プライバシー - レスポンスヘッダー translation_of: Web/HTTP/Headers/Referrer-Policy ---
HTTP の Referrer-Policy
{{glossary("HTTP header", "ヘッダー")}}は、 ({{HTTPHeader("Referer")}} ヘッダーによって送られる) リファラー情報をリクエストにどれだけ含めるかを制御します。
ヘッダー種別 | {{Glossary("Response header", "レスポンスヘッダー")}} |
---|---|
{{Glossary("Forbidden header name", "禁止ヘッダー名")}} | いいえ |
元のヘッダー名である {{HTTPHeader("Referer")}} は "referrer" という語のスペルミスです。 Referrer-Policy
ヘッダーはこのスペルミスをしていません。
Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Referrer-Policy: strict-origin Referrer-Policy: strict-origin-when-cross-origin Referrer-Policy: unsafe-url
no-referrer
no-referrer-when-downgrade
(既定値)strict-origin-when-cross-origin
(https://github.com/whatwg/fetch/pull/952 を参照) に移行するよう取り組んでいますが、 Referrer-Policy を変更する際には、可能であればこの値 (またはより厳格な値) を使用することを検討してください。origin
https://example.com/page.html
にある文書からは、 https://example.com/
というリファラーが送信されます。origin-when-cross-origin
same-origin
strict-origin
strict-origin-when-cross-origin
このポリシーは、 HTTPS リソースの URL から安全ではないオリジンへプライベートである可能性がある情報を漏洩します。設定する場合は影響をよく検討してください。
HTML 内でリファラーポリシーを設定することもできます。例えば、 {{HTMLElement("meta")}} 要素で name に referrer
を設定することで、文書全体のリファラーポリシーを設定することができます。
<meta name="referrer" content="origin">
また、 {{HTMLElement("a")}}, {{HTMLElement("area")}}, {{HTMLElement("img")}}, {{HTMLElement("iframe")}}, {{HTMLElement("script")}}, {{HTMLElement("link")}} の各要素の referrerpolicy
属性によって、個別のリクエストに設定することもできます。
<a href="http://example.com" referrerpolicy="origin">
他に、 noreferrer
link 関係を a
, area
, link
の各要素に設定することもできます。
<a href="http://example.com" rel="noreferrer">
CSS はスタイルシートから参照されるリソースにアクセスすることがあります。これらのリソースは同様にリファラーポリシーに従います。
no-referrer-when-downgrade
) を使用します。style
属性については、所有者の文書のリファラーポリシーが使用されます。ポリシー | 文書 | 移動先 | リファラー |
---|---|---|---|
no-referrer |
https://example.com/page | どこへでも | (リファラーなし) |
no-referrer-when-downgrade |
https://example.com/page | https://example.com/otherpage | https://example.com/page |
https://mozilla.org | https://example.com/page | ||
http://example.org | (リファラーなし) | ||
origin |
https://example.com/page | どこへでも | https://example.com/ |
origin-when-cross-origin |
https://example.com/page | https://example.com/otherpage | https://example.com/page |
https://mozilla.org | https://example.com/ | ||
http://example.com/page | https://example.com/ | ||
same-origin |
https://example.com/page | https://example.com/otherpage | https://example.com/page |
https://mozilla.org | (リファラーなし) | ||
strict-origin |
https://example.com/page | https://mozilla.org | https://example.com/ |
http://example.org | (リファラーなし) | ||
http://example.com/page | どこへでも | http://example.com/ | |
strict-origin-when-cross-origin |
https://example.com/page | https://example.com/otherpage | https://example.com/page |
https://mozilla.org | https://example.com/ | ||
http://example.org | (リファラーなし) | ||
unsafe-url |
https://example.com/page?q=123 | どこへでも | https://example.com/page?q=123 |
必要なポリシーのブラウザーの対応状況が十分ではなく、代替ポリシーを設定したい場合は、カンマ区切りのリストを使用し、必要なポリシーを最後に指定してください。
Referrer-Policy: no-referrer, strict-origin-when-cross-origin
上記のシナリオでは、 no-referrer
はブラウザーが strict-origin-when-cross-origin
に対応していない場合のみ使用されます。
複数の値を設定する方法は、 HTTP の Referrer-Policy
ヘッダーのみが対応しており、 referrerpolicy
属性では対応していません。
仕様書 | 状態 |
---|---|
Referrer Policy | 編集者草稿 |
{{Compat("http.headers.Referrer-Policy")}}
about:config
の中でユーザーが Referrer-Policy
の既定値を設定できる設定項目 ( network.http.referer.userControlPolicy
) があります。network.http.referer.defaultPolicy
および network.http.referer.defaultPolicy.pbmode
で置き換えられました。指定可能な値は以下の通りです。
no-referrer
same-origin
strict-origin-when-cross-origin
no-referrer-when-downgrade
(既定値)