[W3C]Referrer Policyについて

2023年2月11日 13:05

W3CのWeb Application Security WG が公開している、「Referrer Policy」というRecommendationを解説していきます。英語の原文は以下です。

概要

ウェブサイトのreferrer policyの定め方や、外部に対するリクエストのRefererヘッダーに対してどんなポリシーを設定できるのかを説明している文書です

RefererヘッダーはMDNのドキュメントを見ると以下のように記載があります。

Referer リクエストヘッダーには、現在リクエストされているページへのリンク先を持った直前のウェブページのアドレスが含まれています。Referer ヘッダーにより、サーバーは人々がどこから訪問しに来たかを識別し、分析、ログ、キャッシュの最適化などに利用することができます。

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Referer

例えば、Google検索からとあるサイトに遷移した場合はRefererヘッダーにgoogle.comが入ります

遷移元のURLが個人情報を含むようなサイトだった場合、遷移先のサイトにRefererヘッダーを通じて個人情報が漏れる可能性があります

遷移元のアプリケーションがURLベースのセッションidを使っている場合、Refererヘッダーを通してセッションIDが漏れてしまう可能性があります。

リファラポリシーには次のような種類があります。

他のReferrer policyにフォールバックする。もしなければ"no-referrer-when-downgrade" がデフォルト

リファラの情報を全く送らない

プロトコルのセキュリティ水準が同一である、または向上する場合 (HTTP→HTTP, HTTP→HTTPS, HTTPS→HTTPS)場合は、URL全体を送信
セキュリティ水準が低下するリクエスト (HTTPS→HTTP, HTTPS→file)の場合は何も送信しない

同じオリジンの場合はURL全体を送る。それ以外は何も送らない。

オリジンの情報だけ送る

同じオリジンの場合はURL全体、クロスオリジンの場合はオリジンだけを送る

全てのリクエストに対してURL全体を送る