HTMLScriptElement: referrerPolicy-Eigenschaft

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since September 2021.

Die referrerPolicy-Eigenschaft des Interfaces HTMLScriptElement spiegelt die HTML-referrerpolicy der <script>-Element wider, welche definiert, wie der Referer gesetzt wird, wenn das Skript und alle von ihm importierten Skripte abgerufen werden.

Wert

Ein String; einer der folgenden:

no-referrer

Der Referer-Header wird vollständig ausgelassen. Keine Referer-Informationen werden mit Anfragen gesendet.

no-referrer-when-downgrade

Die URL wird als Referer gesendet, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTP→HTTP, HTTPS→HTTPS), jedoch nicht an ein weniger sicheres Ziel (z.B. HTTPS→HTTP) gesendet.

origin

Sendet in allen Fällen nur die Herkunft des Dokuments als Referer. Das Dokument https://example.com/page.html sendet den Referer https://example.com/.

origin-when-cross-origin

Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung, sendet jedoch nur die Herkunft des Dokuments in anderen Fällen.

same-origin

Ein Referer wird für gleichseitige Ursprünge gesendet, aber Anfragen über Ursprungsgrenzen hinweg enthalten keine Referer-Informationen.

strict-origin

Sendet nur die Herkunft des Dokuments als Referer, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTPS→HTTPS), sendet es jedoch nicht an ein weniger sicheres Ziel (z.B. HTTPS→HTTP).

strict-origin-when-cross-origin (Standard)

Dies ist das Standardverhalten des Benutzeragenten, wenn keine Richtlinie angegeben ist. Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung, sendet nur die Herkunft, wenn das Sicherheitsniveau des Protokolls gleich bleibt (z.B. HTTPS→HTTPS) und sendet keinen Header an ein weniger sicheres Ziel (z.B. HTTPS→HTTP).

unsafe-url

Sendet eine vollständige URL bei einer Anfrage aus demselben Ursprung oder über Ursprungsgrenzen hinweg. Diese Richtlinie gibt Ursprünge und Pfade von TLS-geschützten Ressourcen an unsichere Ursprünge preis. Überlegen Sie sorgfältig die Auswirkungen dieser Einstellung.

Hinweis: Ein leerer String-Wert ("") ist sowohl der Standardwert als auch ein Fallback-Wert, wenn referrerpolicy nicht unterstützt wird. Wenn referrerpolicy nicht explizit auf dem <script>-Element angegeben wird, wird eine höherstufige Referer-Richtlinie übernommen, d.h. eine, die auf das gesamte Dokument oder die Domain gesetzt ist. Wenn keine höherstufige Richtlinie verfügbar ist, wird der leere String als äquivalent zu no-referrer-when-downgrade behandelt.

Beispiele

js
const scriptElem = document.createElement("script");
scriptElem.src = "/";
scriptElem.referrerPolicy = "unsafe-url";
document.body.appendChild(scriptElem);

Spezifikationen

Specification
HTML Standard
# dom-script-referrerpolicy

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch