¿Cuál política es el default seguro?

`strict-origin-when-cross-origin`. Envía la URL completa para mismo origen (tu analytics aún funciona), solo el origen para cross-origin HTTPS, y nada al hacer downgrade a HTTP. Este es el default implícito en navegadores modernos si no configuras una política.

¿Por qué `unsafe-url` está marcado?

Envía la URL completa (incluyendo query string) a cada destino, incluso en downgrades HTTPS→HTTP. Las query strings frecuentemente contienen tokens, ids e info personal — `unsafe-url` los filtra a la red y a cualquier ad/analytics/embed que viva en el destino.

Constructor de Cabecera Referrer-Policy

Red

La cabecera Referrer-Policy controla cuánto de tu URL se incluye en la cabecera de petición `Referer` cuando los usuarios hacen click en links o tu página hace peticiones de subrecursos. Este constructor te deja elegir una de las ocho políticas estándar y ver exactamente qué se envía para los tres escenarios que importan: una petición al mismo origen, una petición cross-origin sobre HTTPS, y una petición cross-origin que hace downgrade a HTTP. Tanto la cabecera de respuesta como la forma `<meta>` se emiten así puedes aplicar la política desde el servidor o dentro de un HTML cacheado por CDN.

—

PolíticaURL completa en mismo origen, origen en cross-origin HTTPS, nada en downgrade. Default moderno.

Cabecera de respuesta

Referrer-Policy: strict-origin-when-cross-origin

Forma meta tag

<meta name="referrer" content="strict-origin-when-cross-origin">

Qué se envía

Escenario	Referer enviado
Mismo origen (HTTPS→HTTPS, mismo host)	https://app.example.com/page?id=42
Cross-origin (HTTPS→HTTPS, diferente host)	https://api.other.com
Downgrade (HTTPS→HTTP)	(no header)

Aplica la cabecera en cada respuesta HTML. La forma `<meta>` es útil cuando no puedes controlar cabeceras (hosting estático que no te deja configurarlas, etc.).

Cómo usar

Elige una política. El default para navegadores modernos es `strict-origin-when-cross-origin` — fuga solo el origen al salir de HTTPS para HTTPS, y nada en un downgrade.
Lee las tres filas de ejemplo para ver exactamente qué enviaría el navegador.
Copia la cabecera de respuesta (preferido) o el tag `<meta>` (funciona dentro de una página HTML cuando no puedes controlar cabeceras).

Preguntas frecuentes

¿Cuál política es el default seguro?: `strict-origin-when-cross-origin`. Envía la URL completa para mismo origen (tu analytics aún funciona), solo el origen para cross-origin HTTPS, y nada al hacer downgrade a HTTP. Este es el default implícito en navegadores modernos si no configuras una política.
¿Por qué `unsafe-url` está marcado?: Envía la URL completa (incluyendo query string) a cada destino, incluso en downgrades HTTPS→HTTP. Las query strings frecuentemente contienen tokens, ids e info personal — `unsafe-url` los filtra a la red y a cualquier ad/analytics/embed que viva en el destino.

Herramientas relacionadas

Inspector de Dirección IP

Escribe una dirección IPv4 o IPv6 y ve su clase, scope (privada / pública / loopback / link-local), valor decimal, binario, notación reverse-DNS y CIDR /32.

Red00

Referencia de Puertos

Cheat sheet buscable de ~60 puertos TCP / UDP estándar — desde 22 (SSH) y 80 (HTTP) hasta 6379 (Redis) y 27017 (MongoDB).

Red00

Referencia de Registros DNS

Hoja de referencia buscable de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — con ejemplos.

Red00

Calculadora de Subred (IPv4 / CIDR)

Parsea CIDR IPv4 en dirección de red, broadcast, netmask, wildcard, rango de hosts y clase. Muestra desglose binario y estado privado/público.

Red00

Parser de User Agent

Parsea string User-Agent en navegador, engine, OS, dispositivo y CPU. Detecta 20+ bots incluyendo GPTBot, ClaudeBot, PerplexityBot.

Red00

Referencia de Códigos de Estado HTTP

Lista buscable de todos los códigos HTTP (1xx-5xx) con resumen, RFC, cuándo usar y trampas frecuentes.

Red00