完全自分用メモ。なのでnoindexにしてる。
| ディレクティブ | 送信情報 (同一オリジン) | 送信情報 (クロスオリジン・安全) | 送信情報 (クロスオリジン・安全性低下) |
|---|---|---|---|
| no-referrer | 送信なし | 送信なし | 送信なし |
| no-referrer-when-downgrade | フル情報 | フル情報 | 送信なし |
| origin | オリジンのみ | オリジンのみ | オリジンのみ |
| origin-when-cross-origin | フル情報 | オリジンのみ | オリジンのみ |
| same-origin | フル情報 | 送信なし | 送信なし |
| strict-origin | オリジンのみ | オリジンのみ | 送信なし |
| strict-origin-when-cross-origin(既定値) | フル情報 | オリジンのみ | 送信なし |
| unsafe-url | フル情報 | フル情報 | フル情報 |
- 安全:プロトコルのセキュリティ水準が同一である、または向上する場合 (HTTP→HTTP, HTTP→HTTPS, HTTPS→HTTPS)
- フル情報:オリジン、パス、クエリー文字列
リファラーを送りたくないからといって、unsafe-urlにすると同じオリジンにも送られなくなり、originヘッダーも送られなくなるので、変なバグが起こるかもなので安易にunsafe-urlにしないほうがいい(参考)
コメント