Справочник HTML

Атрибут referrerpolicy

79 51 38 14 50
51 50 41 14

Атрибут referrerpolicy определяет, какие реферальные данные следует отправлять при переходе по ссылке в заголовке Referer.

Заголовок Referer в HTTP-запросе содержит адрес страницы, с которой был выполнен переход на текущий адрес. Например, если пользователь перешел со страницы https://webref.ru/html/a на другой сайт, то в запросе будет следующий заголовок:

https://webref.ru/html/a

Заголовок Referer может применяться для следующих задач:

  • аналитика, откуда на сайт приходят пользователи;
  • определение популярных веб-страниц для входа;
  • сбор статистики по переходам между страницами сайта;
  • проверка, что запрос пришел с того же сайта;
  • ограничение доступа к содержимому с определённых адресов.

Вместе с тем, не всегда полный адрес следует передавать на другие ресурсы в целях безопасности. К примеру, в адресе может содержаться информация об имени пользователя, электронной почте, пароле и другие конфиденциальные данные. Такие данные могут оказаться в адресе при заполнении формы:

https://webref.ru/example/handler.php?login=Вася&password=12345

Таким образом, атрибут referrerpolicy определяет политику, какие данные включать в заголовок Referer: никакие, ограниченные или все.

Синтаксис

<a referrerpolicy="no-referrer | no-referrer-when-downgrade | same-origin | origin |
  strict-origin | origin-when-cross-origin | strict-origin-when-cross-origin | unsafe-url"></a>
Описание Пример
<тип> Указывает тип значения. <размер>
A && B Значения должны выводиться в указанном порядке. <размер> && <цвет>
A | B Указывает, что надо выбрать только одно значение из предложенных (A или B). normal | small-caps
A || B Каждое значение может использоваться самостоятельно или совместно с другими в произвольном порядке. width || count
[ ] Группирует значения. [ crop || cross ]
* Повторять ноль или больше раз. [,<время>]*
+ Повторять один или больше раз. <число>+
? Указанный тип, слово или группа не является обязательным. inset?
{A, B} Повторять не менее A, но не более B раз. <радиус>{1,4}
# Повторять один или больше раз через запятую. <время>#

Значения

no-referrer
Заголовок Referer не отправляется.
no-referrer-when-downgrade
Заголовок Referer не отправляется при переходе с защищённого протокола на обычный (HTTPS→HTTP).
same-origin
Реферальные данные отправляются в пределах одного сайта, при переходе на другой сайт данные не передаются.
origin
Реферальные данные ограничены и включают только протокол, адрес сайта и порт, если он указан (https://example.com:80).
strict-origin
Реферальные данные включают протокол, адрес сайта и порт (при его наличии). Сами данные передаются только в рамках одного и того же протокола (HTTPS→HTTPS) и не отправляются при переходе на менее безопасный (HTTPS→HTTP).
origin-when-cross-origin
В рамках одного сайта передаётся полный путь. При переходе на другой сайт реферальные данные ограничены и включают только протокол, адрес сайта и порт.
strict-origin-when-cross-origin
Передаёт полный путь в рамках одного сайта, на другой сайт передаётся протокол, адрес сайта и порт, но только когда протокол остаётся прежним (HTTPS → HTTPS). Заголовок не передаётся при переходе на менее безопасный протокол (HTTPS→HTTP).
unsafe-url
Реферальные данные включают полный адрес документа. Это значение считается небезопасным.

Значение по умолчанию

strict-origin-when-cross-origin

Пример

<!DOCTYPE html> <html lang="ru"> <head> <meta charset="utf-8"> <title>referrerpolicy</title> </head> <body> <p><a href="https://google.ru" referrerpolicy="no-referrer">Перейти на Гугл</a></p> </body> </html>