CSP: referrer
过时的
此函数已过时。虽然它可能在某些浏览器中仍然有效,但它的使用是不鼓励的,因为它可以在任何时候被删除。尽量避免使用它。
HTTP Content-Security-Policy
(CSP)referrer
指令用于在Referer
标题中指定信息(只有一个,r
因为这是在信号规范中的拼写错误),用于远离页面的链接。此API已弃用,并从浏览器中删除。
Referrer-Policy
改为使用标题。
句法
Content-Security-Policy: referrer <referrer-policy>;
<referrer-policy>
可以是以下值之一:
“no-referrer” Referer
标题将被完全省略。没有引用信息与请求一起发送。“none-when-downgrade”如果未指定策略,这是用户代理的默认行为。原始地址作为引用来源发送到先验的多安全目的地(HTTPS-> HTTPS),但不发送到安全性较低的目的地(HTTPS-> HTTP)。“origin”只发送文档的来源作为所有情况下的推荐人。
该文件https://example.com/page.html
将发送引用者https://example.com/
。“origin-when-cross-origin”/“origin-when-crossorigin”在执行同源请求时发送完整的URL,但只发送文档的来源用于其他情况。“不安全-url“在执行同源或跨源请求时发送完整的URL(从参数中剥离)。此政策会将来自TLS保护资源的来源和路径泄漏到不安全的来源。仔细考虑这个设置的影响。
示例
Content-Security-Policy: referrer "none";
规范
不是任何规格的一部分。
浏览器兼容性
特征 | Chrome | Firefox | Edge | Internet Explorer | Opera | Safari |
---|---|---|---|---|---|---|
基本支持 | (Yes) — 56.0 | 37.01 | (No) | (No) | (No) | (No) |
特征 | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
---|---|---|---|---|---|---|---|
基本支持 | (Yes) — 56.0 | (Yes) — 56.0 | (No) | 37.01 | (No) | (No) | (No) |