HTMLIFrameElement: referrerPolicy 屬性

值

no-referrer

將完全省略 Referer 標頭。請求不會附帶任何 Referer 資訊。

no-referrer-when-downgrade

當協議安全級別保持不變時（HTTP→HTTP，HTTPS→HTTPS），URL 將作為 Referer 傳送，但不會發送到安全性較低的目的地（HTTPS→HTTP）。

origin

在所有情況下，僅將文件的 origin 作為 Referer 傳送。文件 https://example.com/page.html 將傳送 Referer https://example.com/。

origin-when-cross-origin

在執行同源請求時傳送完整的 URL，但在其他情況下僅傳送文件的 origin。

same-origin

對於 同站點（same-site）的 origin，將傳送 Referer，但跨站（cross-origin）請求將不包含任何 Referer 資訊。

strict-origin

僅當協議安全級別保持不變時（HTTPS→HTTPS），將文件的 origin 作為 Referer 傳送，但不會將其傳送到安全性較低的目的地（HTTPS→HTTP）。

strict-origin-when-cross-origin (預設)

如果未指定策略，則這是使用者代理的預設行為。執行同源請求時傳送完整的 URL，僅當協議安全級別保持不變時（HTTPS→HTTPS）傳送 origin，並且不向安全性較低的目的地（HTTPS→HTTP）傳送標頭。

unsafe-url

在執行同源或跨源請求時傳送完整的 URL。

注意：此策略會將 TLS 保護資源的 origin 和路徑洩露給不安全的 origin。請仔細考慮此設定的影響。

示例

const iframe = document.createElement("iframe");
iframe.src = "/";
iframe.referrerPolicy = "unsafe-url";
const body = document.querySelector("body");
body.appendChild(iframe); // Fetch the image using the complete URL as the referrer

規範

瀏覽器相容性

另見

• HTMLAnchorElement.referrerPolicy、HTMLAreaElement.referrerPolicy 和 HTMLAreaElement.referrerPolicy。