files/zh-cn/web/http/headers/referrer-policy/index.html


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257

---
title: Referrer-Policy
slug: Web/HTTP/Headers/Referrer-Policy
tags:
  - HTTP
  - 响应
  - 请求头
  - 请求首部
  - 隐私
  - 首部
translation_of: Web/HTTP/Headers/Referrer-Policy
---
<div><strong><code>Referrer-Policy</code></strong> 首部用来监管哪些访问来源信息——会在 {{HTTPHeader("Referer")}}  中发送——应该被包含在生成的请求当中。</div>

<table class="properties">
 <tbody>
  <tr>
   <th scope="row">Header type</th>
   <td>{{Glossary("Response header")}}</td>
  </tr>
  <tr>
   <th scope="row">{{Glossary("Forbidden header name")}}</th>
   <td>no</td>
  </tr>
 </tbody>
</table>

<h2 id="语法">语法</h2>

<p>注意 {{HTTPHeader("Referer")}} 实际上是单词 "referrer" 的错误拼写。<code>Referrer-Policy</code> 这个首部并没有延续这个错误拼写。</p>

<pre class="syntaxbox">Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
</pre>

<h2 id="指令">指令</h2>

<dl>
 <dt>no-referrer</dt>
 <dd>整个 {{HTTPHeader("Referer")}}  首部会被移除。访问来源信息不随着请求一起发送。</dd>
 <dt>no-referrer-when-downgrade （默认值）</dt>
 <dd>在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下，引用页面的地址会被发送(HTTPS-&gt;HTTPS)，但是在降级的情况下不会被发送 (HTTPS-&gt;HTTP)。</dd>
 <dt>origin</dt>
 <dd>在任何情况下，仅发送文件的源作为引用地址。例如  <code>https://example.com/page.html</code> 会将 <code>https://example.com/ 作为引用地址。</code></dd>
 <dt>origin-when-cross-origin</dt>
 <dd>对于同源的请求，会发送完整的URL作为引用地址，但是对于非同源请求仅发送文件的源。</dd>
 <dt>same-origin</dt>
 <dd>对于<a href="/en-US/docs/Web/Security/Same-origin_policy">同源的请求</a>会发送引用地址，但是对于非同源请求则不发送引用地址信息。</dd>
 <dt>strict-origin</dt>
 <dd>在同等安全级别的情况下，发送文件的源作为引用地址(HTTPS-&gt;HTTPS)，但是在降级的情况下不会发送 (HTTPS-&gt;HTTP)。</dd>
 <dt>strict-origin-when-cross-origin</dt>
 <dd>对于同源的请求，会发送完整的URL作为引用地址；在同等安全级别的情况下，发送文件的源作为引用地址(HTTPS-&gt;HTTPS)；在降级的情况下不发送此首部 (HTTPS-&gt;HTTP)。</dd>
 <dt>unsafe-url</dt>
 <dd>无论是同源请求还是非同源请求，都发送完整的 URL（移除参数信息之后）作为引用地址。
 <div class="note">这项设置会将受 TLS 安全协议保护的资源的源和路径信息泄露给非安全的源服务器。进行此项设置的时候要慎重考虑。</div>
 </dd>
</dl>

<h2 id="集成到_HTML">集成到 HTML</h2>

<p>你也可以在 HTML 内设置 referrer 策略。例如，你可以用一个 name 为 referrer 的 {{HTMLElement("meta")}} 元素为整个文档设置 referrer 策略。</p>

<pre>&lt;meta name="referrer" content="origin"&gt;</pre>

<p>或者用 {{HTMLElement("a")}}、{{HTMLElement("area")}}、{{HTMLElement("img")}}、{{HTMLElement("iframe")}}、{{HTMLElement("script")}} 或者 {{HTMLElement("link")}} 元素上的 <code>referrerpolicy</code> 属性为其设置独立的请求策略。</p>

<pre>&lt;a href="http://example.com" referrerpolicy="origin"&gt;</pre>

<p>另外也可以在 {{HTMLElement("a")}}、{{HTMLElement("area")}} 或者 {{HTMLElement("link")}} 元素上将 <code>rel</code> 属性设置为 <code>noreferrer</code>。</p>

<pre>&lt;a href="http://example.com" rel="noreferrer"&gt;</pre>

<h2 id="集成到_CSS">集成到 CSS</h2>

<p>CSS 可以从样式表获取引用的资源，这些资源也可以遵从 referrer 策略：</p>

<ul>
 <li>外部 CSS 样式表使用默认策略 (<code>no-referrer-when-downgrade</code>)，除非 CSS 样式表的响应消息通过 <code>Referrer-Policy</code> 首部覆盖该策略。</li>
 <li>对于 {{HTMLElement("style")}} 元素或 <code><a href="/zh-CN/docs/Web/API/HTMLElement/style">style</a></code> 属性，则遵从文档的 referrer 策略。</li>
</ul>

<h2 id="示例">示例</h2>

<table class="standard-table">
 <thead>
  <tr>
   <th scope="col">Policy</th>
   <th scope="col">Document</th>
   <th scope="col">Navigation to</th>
   <th scope="col">Referrer</th>
  </tr>
 </thead>
 <tbody>
  <tr>
   <td><code><strong>no-referrer</strong></code></td>
   <td>https://example.com/page.html</td>
   <td>any domain or path</td>
   <td>no referrer</td>
  </tr>
  <tr>
   <td><strong><code>no-referrer-when-downgrade</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://example.com/otherpage.html</td>
   <td>https://example.com/page.html</td>
  </tr>
  <tr>
   <td><strong><code>no-referrer-when-downgrade</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://mozilla.org</td>
   <td>https://example.com/page.html</td>
  </tr>
  <tr>
   <td><strong><code>no-referrer-when-downgrade</code></strong></td>
   <td>https://example.com/page.html</td>
   <td><strong>http</strong>://example.org</td>
   <td>no referrer</td>
  </tr>
  <tr>
   <td><strong><code>origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>any domain or path</td>
   <td>https://example.com/</td>
  </tr>
  <tr>
   <td><code><strong>origin-when-cross-origin</strong></code></td>
   <td>https://example.com/page.html</td>
   <td>https://example.com/otherpage.html</td>
   <td>https://example.com/page.html</td>
  </tr>
  <tr>
   <td><code><strong>origin-when-cross-origin</strong></code></td>
   <td>https://example.com/page.html</td>
   <td>https://mozilla.org</td>
   <td>https://example.com/</td>
  </tr>
  <tr>
   <td><code><strong>origin-when-cross-origin</strong></code></td>
   <td>https://example.com/page.html</td>
   <td><strong>http</strong>://example.com/page.html</td>
   <td>https://example.com/</td>
  </tr>
  <tr>
   <td><strong><code>same-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://example.com/otherpage.html</td>
   <td>https://example.com/page.html</td>
  </tr>
  <tr>
   <td><strong><code>same-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://mozilla.org</td>
   <td>no referrer</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://mozilla.org</td>
   <td>https://example.com/</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td><strong>http</strong>://example.org</td>
   <td>no referrer</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin</code></strong></td>
   <td><strong>http</strong>://example.com/page.html</td>
   <td>any domain or path</td>
   <td>http://example.com/</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin-when-cross-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://example.com/otherpage.html</td>
   <td>https://example.com/page.html</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin-when-cross-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>https://mozilla.org</td>
   <td>https://example.com/</td>
  </tr>
  <tr>
   <td><strong><code>strict-origin-when-cross-origin</code></strong></td>
   <td>https://example.com/page.html</td>
   <td><strong>http</strong>://example.org</td>
   <td>no referrer</td>
  </tr>
  <tr>
   <td><strong><code>unsafe-url</code></strong></td>
   <td>https://example.com/page.html</td>
   <td>any domain or path</td>
   <td>https://example.com/page.html</td>
  </tr>
 </tbody>
</table>

<h3 id="指定后备策略">指定后备策略</h3>

<p>如果你要为那些策略未获广泛的浏览器支持的情况指定一种后备策略，使用逗号分隔的列表，并将希望使用的策略放在最后：</p>

<pre><code>Referrer-Policy: no-referrer, strict-origin-when-cross-origin</code></pre>

<p>在上面的场景中，<code>no-referrer</code> 仅在 <code>strict-origin-when-cross-origin</code> 不被浏览器支持的情况下被使用。</p>

<h2 id="规范">规范</h2>

<table class="standard-table">
 <tbody>
  <tr>
   <th scope="col">规范</th>
   <th scope="col">状态</th>
  </tr>
  <tr>
   <td><a href="https://w3c.github.io/webappsec-referrer-policy/#referrer-policy-header">Referrer Policy </a></td>
   <td>草稿</td>
  </tr>
 </tbody>
</table>

<h2 id="浏览器兼容性">浏览器兼容性</h2>

<p>{{Compat("http.headers.Referrer-Policy")}}</p>

<p><strong>注意：</strong> 从版本 53 起，Gecko 在 about:config 中提供了一项偏好设置，使得用户可以自行设定默认的 Referrer-Policy 值 —— network.http.referer.userControlPolicy 。可选的值包括：</p>

<ul>
 <li>0 — <code>no-referrer</code></li>
 <li>1 — <code>same-origin</code></li>
 <li>2 — <code>strict-origin-when-cross-origin</code></li>
 <li>3 — <code>no-referrer-when-downgrade</code> (the default)</li>
</ul>

<h2 id="相关内容">相关内容</h2>

<ul>
 <li>{{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}}</li>
 <li>其他设定页面引用策略的方式：
  <ul>
   <li>A {{HTMLElement("meta")}} element with a <a href="/en-US/docs/Web/HTML/Element/meta#attr-name">name of <code>referrer</code></a>.</li>
   <li>A <code>referrerpolicy</code> attribute on an {{HTMLElement("a")}}, {{HTMLElement("area")}}, {{HTMLElement("img")}}, {{HTMLElement("iframe")}}, or {{HTMLElement("link")}} element.</li>
   <li>The <code>noreferrer</code> link relation on an a, area, or link element  (<code>rel="noreferrer"</code>).</li>
   <li>When using <a href="/en-US/docs/Web/API/Fetch_API">Fetch</a>: {{domxref("Request.referrerPolicy")}}</li>
  </ul>
 </li>
 <li><a href="/en-US/docs/Web/Security/Same-origin_policy">同源策略</a></li>
 <li>
  <p><a href="https://blog.mozilla.org/security/2015/01/21/meta-referrer/">Tighter Control Over Your Referrers – Mozilla Security Blog</a></p>
 </li>
</ul>