CSP: referrer

CSP: referrer

过时的

此函数已过时。虽然它可能在某些浏览器中仍然有效,但它的使用是不鼓励的,因为它可以在任何时候被删除。尽量避免使用它。

HTTP Content-Security-Policy(CSP)referrer指令用于在Referer标题中指定信息(只有一个,r因为这是在信号规范中的拼写错误),用于远离页面的链接。此API已弃用,并从浏览器中删除。

Referrer-Policy改为使用标题。

句法

Content-Security-Policy: referrer <referrer-policy>;

<referrer-policy>可以是以下值之一:

“no-referrer” Referer标题将被完全省略。没有引用信息与请求一起发送。“none-when-downgrade”如果未指定策略,这是用户代理的默认行为。原始地址作为引用来源发送到先验的多安全目的地(HTTPS-> HTTPS),但不发送到安全性较低的目的地(HTTPS-> HTTP)。“origin”只发送文档的来源作为所有情况下的推荐人。

该文件https://example.com/page.html将发送引用者https://example.com/。“origin-when-cross-origin”/“origin-when-crossorigin”在执行同源请求时发送完整的URL,但只发送文档的来源用于其他情况。“不安全-url“在执行同源或跨源请求时发送完整的URL(从参数中剥离)。此政策会将来自TLS保护资源的来源和路径泄漏到不安全的来源。仔细考虑这个设置的影响。

示例

Content-Security-Policy: referrer "none";

规范

不是任何规格的一部分。

浏览器兼容性

特征ChromeFirefoxEdgeInternet ExplorerOperaSafari
基本支持(Yes) — 56.037.01(No)(No)(No)(No)

特征AndroidChrome for AndroidEdge mobileFirefox for AndroidIE mobileOpera AndroidiOS Safari
基本支持(Yes) — 56.0(Yes) — 56.0(No)37.01(No)(No)(No)