Referrer-Policy ヘッダービルダー
ネットワーク
Referrer-Policy ヘッダーは、ユーザーがリンクをクリックしたり、ページがサブリソースリクエストを行ったりするときに、`Referer` リクエストヘッダーに URL がどれだけ含まれるかを制御する。このビルダーは、8 つの標準ポリシーのうちの 1 つを選び、重要な 3 つのシナリオで正確に何が送信されるかを見ることができる:同じオリジンへのリクエスト、HTTPS を介したクロスオリジンリクエスト、HTTP にダウングレードするクロスオリジンリクエスト。レスポンスヘッダーと `<meta>` フォームの両方が発せられるため、サーバーまたは CDN にキャッシュされた HTML 内からポリシーを適用できる。
Referrer-Policy: strict-origin-when-cross-origin<meta name="referrer" content="strict-origin-when-cross-origin">
| シナリオ | Referer 送信 |
|---|---|
| 同一オリジン(HTTPS→HTTPS、同じホスト) | https://app.example.com/page?id=42 |
| クロスオリジン(HTTPS→HTTPS、異なるホスト) | https://api.other.com |
| ダウングレード(HTTPS→HTTP) | (no header) |
すべての HTML レスポンスにヘッダーを適用する。`<meta>` フォームは、ヘッダーを制御できないとき(ヘッダーを設定させない静的ホスティングなど)に役立つ。
使い方
- ポリシーを選ぶ。現代のブラウザのデフォルトは `strict-origin-when-cross-origin` — HTTPS から HTTPS にクロスオリジンするときはオリジンのみを漏らし、ダウングレードでは何も漏らさない。
- 3 つの例の行を読んで、ブラウザが正確に何を送るかを見る。
- レスポンスヘッダー(推奨)または `<meta>` タグ(ヘッダーを制御できない HTML ページ内で動作する)をコピーする。
よくある質問
- 安全なデフォルトポリシーは?
- `strict-origin-when-cross-origin`。同一オリジンには完全な URL(分析は引き続き動作)、クロスオリジン HTTPS にはオリジンのみ、HTTP にダウングレードするときは何もない。これは、ポリシーを設定しない場合、現代のブラウザの暗黙のデフォルト。
- なぜ `unsafe-url` がフラグされる?
- HTTPS→HTTP ダウングレードを含むすべての宛先に完全な URL(クエリ文字列を含む)を送信する。クエリ文字列には、しばしばトークン、ID、個人情報が含まれる — `unsafe-url` はそれらをネットワークと、宛先にある広告 / 分析 / 埋め込みに漏らす。
関連ツール
IP アドレス インスペクター
IPv4 または IPv6 アドレスを入力すると、クラス、スコープ(プライベート / パブリック / ループバック / リンクローカル)、10 進数値、2 進数、逆引き DNS 表記、/32 CIDR を表示。
ポート番号リファレンス
約 60 個の標準 TCP / UDP ポート番号の検索可能なチートシート — 22 (SSH)、80 (HTTP) から 6379 (Redis)、27017 (MongoDB) まで。
DNS レコードリファレンス
DNS レコードタイプの検索可能なチートシート — A・AAAA・CNAME・MX・TXT・NS・SOA・PTR・SRV・CAA・DNSSEC・SVCB / HTTPS — 例付き。
サブネット計算機(IPv4 / CIDR)
IPv4 CIDR をネットワークアドレス・ブロードキャスト・ネットマスク・ワイルドカード・ホスト範囲・クラスにパース。バイナリ内訳とプライベート/パブリック判定。
User Agent パーサー
User-Agent 文字列をブラウザ・エンジン・OS・デバイス・CPU に解析。GPTBot・ClaudeBot・PerplexityBot を含む 20 以上のボットを検出。
HTTP ステータスコード リファレンス
1xx-5xx の全 HTTP ステータスコードを検索 — 概要・RFC・使い時・よくある落とし穴付き。