Referrer-Policy
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since September 2021.
Der HTTP Referrer-Policy
Response-Header kontrolliert, wie viele Referrer-Informationen (gesendet mit dem Referer
-Header) in Anfragen enthalten sein sollen.
Abgesehen vom HTTP-Header können Sie diese Richtlinie auch in HTML festlegen.
Header-Typ | Response-Header |
---|---|
Verbotener Header-Name | Nein |
Syntax
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
Hinweis:
Der Header-Name Referer
ist ein Schreibfehler des Wortes "referrer". Der Referrer-Policy
-Header teilt diesen Schreibfehler nicht.
Direktiven
no-referrer
-
Der
Referer
-Header wird weggelassen: gesendete Anfragen enthalten keine Referrer-Informationen. no-referrer-when-downgrade
-
Senden Sie den Origin, Pfad und Query-String im
Referer
, wenn das Sicherheitsniveau des Protokolls gleich bleibt oder sich verbessert (HTTP→HTTP, HTTP→HTTPS, HTTPS→HTTPS). Senden Sie denReferer
-Header nicht für Anfragen zu weniger sicheren Zielen (HTTPS→HTTP, HTTPS→file). origin
-
Senden Sie nur den Origin im
Referer
-Header. Zum Beispiel wird ein Dokument unterhttps://example.com/page.html
den Referrerhttps://example.com/
senden. origin-when-cross-origin
-
Wenn eine same-origin-Anfrage an das gleiche Protokolllevel ausgeführt wird (HTTP→HTTP, HTTPS→HTTPS), senden Sie den Origin, Pfad und Query-String. Senden Sie nur den Origin für Cross-Origin-Anfragen und Anfragen zu weniger sicheren Zielen (HTTPS→HTTP).
same-origin
-
Senden Sie den Origin, Pfad und Query-String für same-origin-Anfragen. Senden Sie den
Referer
-Header nicht für Cross-Origin-Anfragen. strict-origin
-
Senden Sie nur den Origin, wenn das Sicherheitsniveau des Protokolls gleich bleibt (HTTPS→HTTPS). Senden Sie den
Referer
-Header nicht zu weniger sicheren Zielen (HTTPS→HTTP). strict-origin-when-cross-origin
(Standard)-
Senden Sie den Origin, Pfad und Query-String, wenn eine Same-Origin-Anfrage ausgeführt wird. Für Cross-Origin-Anfragen senden Sie nur den Origin, wenn das Sicherheitsniveau des Protokolls gleich bleibt (HTTPS→HTTPS). Senden Sie den
Referer
-Header nicht zu weniger sicheren Zielen (HTTPS→HTTP).Hinweis: Dies ist die Standardeinstellung, wenn keine Richtlinie angegeben ist oder wenn der bereitgestellte Wert ungültig ist (siehe Spezifikationsüberarbeitung November 2020). Zuvor war der Standard
no-referrer-when-downgrade
. unsafe-url
-
Senden Sie den Origin, Pfad und Query-String bei jeder Anfrage, unabhängig von der Sicherheit.
Warnung: Diese Richtlinie kann potenziell private Informationen von HTTPS-Ressourcen-URLs an unsichere Ursprünge preisgeben. Überlegen Sie sorgfältig, welche Auswirkungen diese Einstellung hat.
Integration mit HTML
Sie können Referrer-Richtlinien auch innerhalb von HTML festlegen. Zum Beispiel können Sie die Referrer-Richtlinie für das gesamte Dokument mit einem <meta>
-Element mit einem name von referrer
festlegen:
<meta name="referrer" content="origin" />
Sie können das referrerpolicy
-Attribut auf <a>
, <area>
, <img>
, <iframe>
, <script>
oder <link>
-Elementen angeben, um individuelle Anfragen mit Referrer-Richtlinien zu versehen:
<a href="http://example.com" referrerpolicy="origin">…</a>
Alternativ können Sie eine noreferrer
-Linkrelation auf a
, area
oder link
-Elementen setzen:
<a href="http://example.com" rel="noreferrer">…</a>
Warnung:
Wie oben gezeigt, wird die noreferrer
-Linkrel ohne Bindestrich geschrieben. Wenn Sie die Referrer-Richtlinie für das gesamte Dokument mit einem <meta>
-Element angeben, sollte sie mit Bindestrich geschrieben werden: <meta name="referrer" content="no-referrer">
.
Integration mit CSS
CSS kann Ressourcen abrufen, die in Stylesheets referenziert werden. Diese Ressourcen folgen ebenfalls einer Referrer-Richtlinie:
- Externe CSS-Stylesheets verwenden die Standardrichtlinie (
strict-origin-when-cross-origin
), es sei denn, sie wird durch einenReferrer-Policy
-HTTP-Header in der Antwort des CSS-Stylesheets überschrieben. - Für
<style>
-Elemente oderstyle
-Attribute wird die Referrer-Richtlinie des eigenen Dokuments verwendet.
Beispiele
no-referrer
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
überall | (kein Referrer) |
no-referrer-when-downgrade
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
https://example.com/otherpage |
https://example.com/page |
https://example.com/page |
https://mozilla.org |
https://example.com/page |
https://example.com/page |
http://example.com | (kein Referrer) |
http://example.com/page | überall | http://example.com/page |
origin
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
überall | https://example.com/ |
origin-when-cross-origin
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
https://example.com/otherpage |
https://example.com/page |
https://example.com/page |
https://mozilla.org |
https://example.com/ |
https://example.com/page |
http://example.com/page | https://example.com/ |
same-origin
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
https://example.com/otherpage |
https://example.com/page |
https://example.com/page |
https://mozilla.org |
(kein Referrer) |
strict-origin
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
https://mozilla.org |
https://example.com/ |
https://example.com/page |
http://example.com | (kein Referrer) |
http://example.com/page | überall | http://example.com/ |
strict-origin-when-cross-origin
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page |
https://example.com/otherpage |
https://example.com/page |
https://example.com/page |
https://mozilla.org |
https://example.com/ |
https://example.com/page |
http://example.com | (kein Referrer) |
unsafe-url
Vom Dokument | Navigation zu | Verwendeter Referrer |
---|---|---|
https://example.com/page?q=123 |
überall | https://example.com/page?q=123 |
Fallback-Richtlinie angeben
Wenn Sie eine Fallback-Richtlinie angeben möchten, falls die gewünschte Richtlinie nicht ausreichend Browser-Unterstützung hat, verwenden Sie eine durch Kommas getrennte Liste, wobei die gewünschte Richtlinie zuletzt angegeben wird:
Referrer-Policy: no-referrer, strict-origin-when-cross-origin
Im obigen Szenario wird no-referrer
nur verwendet, wenn der Browser die strict-origin-when-cross-origin
-Richtlinie nicht unterstützt.
Hinweis:
Die Angabe mehrerer Werte wird nur im Referrer-Policy
-HTTP-Header unterstützt und nicht im referrerpolicy
-Attribut.
Browserspezifische Einstellungen
Firefox-Einstellungen
Sie können die Standard-Referrer-Richtlinie in den Firefox-Einstellungen konfigurieren. Die Namen der Einstellungen sind versionsspezifisch:
- Firefox Version 59 und höher:
network.http.referer.defaultPolicy
(undnetwork.http.referer.defaultPolicy.pbmode
für private Netzwerke) - Firefox Versionen 53 bis 58:
network.http.referer.userControlPolicy
Alle diese Einstellungen verwenden denselben Satz von Werten: 0 = no-referrer
, 1 = same-origin
, 2 = strict-origin-when-cross-origin
, 3 = no-referrer-when-downgrade
.
Spezifikationen
Specification |
---|
Referrer Policy # referrer-policy-header |
Browser-Kompatibilität
BCD tables only load in the browser