blob: dc3b894b7c8279009a575e051f11e3f55f54357a (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
---
title: 'CSP: referrer'
slug: Web/HTTP/Headers/Content-Security-Policy/referrer
tags:
- CSP
- Content-Security-Policy
- Directive
- HTTP
- Obsolete
- Reference
- Security
- Sécurité
- referrer
translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer
---
<div>{{HTTPSidebar}} {{deprecated_header}}</div>
<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>referrer</strong></code> spécifie des informations dans l'en-tête HTTP {{HTTPHeader("Referer")}} (avec un seul r) pour les liens externes d'une page. Cette API est dépréciée et supprimée des navigateurs.</p>
<div class="note">
<p>Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p>
</div>
<h2 id="Syntaxe">Syntaxe</h2>
<p>Soit cet en-tête CSP :</p>
<pre class="syntaxbox notranslate">Content-Security-Policy: referrer <referrer-policy>;</pre>
<p>Où <code><referrer-policy></code> peut être une valeur parmi :</p>
<dl>
<dt>"no-referrer"</dt>
<dd>L'en-tête HTTP {{HTTPHeader("Referer")}} sera omise. Aucune information de référent ne sera envoyée avec les requêtes.</dd>
<dt>"none-when-downgrade"</dt>
<dd>C'est le comportement par défaut des agents d'utilisateur si la directive n'est pas spécifiée. L'origine est envoyée comme référent pour une destination a priori aussi bien sécurisée (HTTP vers HTTP ou HTTPS vers HTTPS), mais n'est pas envoyée vers une destination qui l'est moins (HTTPS vers HTTP).</dd>
<dt>"origin"</dt>
<dd>Envoie l'origine du document comme référent dans tous les cas.<br>
Le document <code>https://example.com/page.html</code> enverra <code>https://example.com/</code> comme référent.</dd>
<dt>"origin-when-cross-origin" / "origin-when-crossorigin"</dt>
<dd>Envoie une URL complète pour les requêtes vers la même origine, mais seulement l'origin du document dans les autres cas.</dd>
<dt>"unsafe-url"</dt>
<dd>Envoie une URL complète (excepté ses paramètres) lors de réalisation d'une requête vers la même origine ou une autre origine. Cette règle divulguera les origines et adresses des ressources protégées par TLS à des origines non sécurisées. Considérez avec précaution les conséquences de cette configuration.</dd>
</dl>
<h2 id="Exemples">Exemples</h2>
<pre class="notranslate">Content-Security-Policy: referrer "none";</pre>
<h2 id="Spécifications">Spécifications</h2>
<p>Cette fonctionnalité ne fait partie d'aucune spécification.</p>
<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2>
<p>{{Compat("http.headers.csp.Content-Security-Policy.referrer")}}</p>
<h2 id="Voir_aussi">Voir aussi</h2>
<ul>
<li>{{HTTPHeader("Content-Security-Policy")}}</li>
<li>{{HTTPHeader("Referrer-Policy")}} header</li>
<li>{{HTTPHeader("Referer")}} header</li>
</ul>
|
