Qual política é o padrão seguro?

`strict-origin-when-cross-origin`. Envia a URL completa pra mesma origem (seu analytics ainda funciona), só a origem pra cross-origin HTTPS, e nada ao fazer downgrade pra HTTP. Este é o padrão implícito em navegadores modernos se você não configura uma política.

Por que `unsafe-url` é marcado?

Envia a URL completa (incluindo query string) pra cada destino, mesmo em downgrades HTTPS→HTTP. Query strings frequentemente contêm tokens, ids e info pessoal — `unsafe-url` vaza eles pra rede e pra qualquer ad/analytics/embed que vive no destino.

Construtor de Cabeçalho Referrer-Policy

Rede

O cabeçalho Referrer-Policy controla quanto da sua URL é incluído no cabeçalho de requisição `Referer` quando usuários clicam em links ou sua página faz requisições de subrecursos. Este construtor te deixa escolher uma das oito políticas padrão e ver exatamente o que é enviado pros três cenários que importam: uma requisição pra mesma origem, uma requisição cross-origin sobre HTTPS, e uma requisição cross-origin que faz downgrade pra HTTP. Tanto o cabeçalho de resposta quanto a forma `<meta>` são emitidos pra você poder aplicar a política do servidor ou dentro de um HTML cacheado por CDN.

—

PolíticaURL completa na mesma origem, origem em cross-origin HTTPS, nada em downgrade. Padrão moderno.

Cabeçalho de resposta

Referrer-Policy: strict-origin-when-cross-origin

Forma meta tag

<meta name="referrer" content="strict-origin-when-cross-origin">

O que é enviado

Cenário	Referer enviado
Mesma origem (HTTPS→HTTPS, mesmo host)	https://app.example.com/page?id=42
Cross-origin (HTTPS→HTTPS, host diferente)	https://api.other.com
Downgrade (HTTPS→HTTP)	(no header)

Aplique o cabeçalho em cada resposta HTML. A forma `<meta>` é útil quando você não pode controlar cabeçalhos (hosting estático que não deixa configurá-los, etc.).

Como usar

Escolha uma política. O padrão pra navegadores modernos é `strict-origin-when-cross-origin` — vaza só a origem ao sair de HTTPS pra HTTPS, e nada num downgrade.
Leia as três linhas de exemplo pra ver exatamente o que o navegador enviaria.
Copie o cabeçalho de resposta (preferido) ou a tag `<meta>` (funciona dentro de uma página HTML quando você não pode controlar cabeçalhos).

Perguntas frequentes

Qual política é o padrão seguro?: `strict-origin-when-cross-origin`. Envia a URL completa pra mesma origem (seu analytics ainda funciona), só a origem pra cross-origin HTTPS, e nada ao fazer downgrade pra HTTP. Este é o padrão implícito em navegadores modernos se você não configura uma política.
Por que `unsafe-url` é marcado?: Envia a URL completa (incluindo query string) pra cada destino, mesmo em downgrades HTTPS→HTTP. Query strings frequentemente contêm tokens, ids e info pessoal — `unsafe-url` vaza eles pra rede e pra qualquer ad/analytics/embed que vive no destino.

Ferramentas relacionadas

Inspetor de Endereço IP

Digite um endereço IPv4 ou IPv6 e veja sua classe, scope (privado / público / loopback / link-local), valor decimal, binário, notação reverse-DNS e CIDR /32.

Rede00

Referência de Portas

Cheat sheet pesquisável de ~60 portas TCP / UDP padrão — de 22 (SSH) e 80 (HTTP) até 6379 (Redis) e 27017 (MongoDB).

Rede00

Referência de Registros DNS

Cheat sheet pesquisável de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — com exemplos.

Rede00

Calculadora de Subrede (IPv4 / CIDR)

Parseia CIDR IPv4 em endereço de rede, broadcast, netmask, wildcard, faixa de hosts e classe. Mostra desdobramento binário e status privado/público.

Rede00

Parser de User Agent

Parseia string User-Agent em navegador, engine, OS, dispositivo e CPU. Detecta 20+ bots incluindo GPTBot, ClaudeBot, PerplexityBot.

Rede00

Referência de Códigos de Status HTTP

Lista pesquisável de todos os códigos HTTP (1xx-5xx) com resumo, RFC, quando usar e armadilhas comuns.

Rede00