Referrer-Policy 헤더 빌더
네트워크
Referrer-Policy 헤더는 사용자가 링크 클릭 시 또는 페이지가 서브리소스 요청 시 `Referer` 요청 헤더에 URL이 얼마나 포함되는지 제어. 이 빌더로 8개 표준 정책 중 하나 선택 → 중요한 3개 시나리오에 정확히 뭐 보내지는지 확인: 동일 오리진 요청, HTTPS 크로스 오리진 요청, HTTP로 다운그레이드 크로스 오리진. 응답 헤더와 `<meta>` 폼 둘 다 출력 → 서버 또는 CDN 캐시 HTML 내에서 정책 적용 가능.
Referrer-Policy: strict-origin-when-cross-origin<meta name="referrer" content="strict-origin-when-cross-origin">
| 시나리오 | Referer 전송 |
|---|---|
| 동일 오리진 (HTTPS→HTTPS, 동일 호스트) | https://app.example.com/page?id=42 |
| 크로스 오리진 (HTTPS→HTTPS, 다른 호스트) | https://api.other.com |
| 다운그레이드 (HTTPS→HTTP) | (no header) |
모든 HTML 응답에 헤더 적용. `<meta>` 폼은 헤더 제어 불가 시(헤더 설정 못 하는 정적 호스팅 등) 유용.
사용법
- 정책 선택. 현대 브라우저 기본값은 `strict-origin-when-cross-origin` — HTTPS→HTTPS 크로스엔 오리진만 누출, 다운그레이드엔 아무것도 안 보냄.
- 예시 3행 읽어 브라우저가 정확히 뭐 보낼지 확인.
- 응답 헤더(선호) 또는 `<meta>` 태그(헤더 제어 불가 HTML 페이지에서 작동) 복사.
자주 묻는 질문
- 안전한 기본 정책?
- `strict-origin-when-cross-origin`. 동일 오리진엔 전체 URL(분석 여전히 작동), HTTPS 크로스엔 오리진만, HTTP 다운그레이드엔 아무것도. 정책 설정 안 하면 현대 브라우저 암시적 기본값.
- 왜 `unsafe-url` 플래그?
- HTTPS→HTTP 다운그레이드 포함 모든 목적지에 전체 URL(쿼리 스트링 포함) 전송. 쿼리 스트링엔 토큰·ID·개인정보 자주 포함 — `unsafe-url`은 그것들을 네트워크와 목적지의 광고·분석·임베드에 누출.
관련 도구
IP 주소 분석
IPv4 또는 IPv6 입력 → 클래스·범위(사설·공인·loopback·link-local)·10진수·2진수·reverse DNS·/32 CIDR 표시.
포트 번호 참조
약 60개 표준 TCP / UDP 포트 번호 검색 가능한 치트시트 — 22(SSH)·80(HTTP)·6379(Redis)·27017(MongoDB) 등.
DNS 레코드 참조
DNS 레코드 타입 검색 가능한 치트시트 — A·AAAA·CNAME·MX·TXT·NS·SOA·PTR·SRV·CAA·DNSSEC·SVCB / HTTPS — 예시 포함.
서브넷 계산기 (IPv4 / CIDR)
IPv4 CIDR을 네트워크 주소·브로드캐스트·넷마스크·와일드카드·호스트 범위·클래스로 파싱. 이진 분석과 사설/공인 상태 표시.
User Agent 파서
User-Agent 문자열을 브라우저·엔진·OS·디바이스·CPU로 파싱. GPTBot·ClaudeBot·PerplexityBot 포함 20+ 봇 감지.
HTTP 상태 코드 레퍼런스
1xx-5xx 모든 HTTP 상태 코드 검색 — 요약·RFC·사용 시점·흔한 함정 포함.