Referer Metaタグ付きのリファラー制御—詳細なリファラーポリシー

クズども · 掲載地 2018/09/13 13:03:22

本記事では、HTTPプロトコルにおけるリファラーのメタデータパラメータの提案を説明しており、HTMLドキュメントによってリファラー、ホスト名のみ、または完全なリファラーを送信するかを制御できます。フラッシュやいくつかのjsトリックなどのリファラー制御方法はありますが、この記事では異なる話を述べています。

使用シナリオ

場合によっては、このリファラーメタデータパラメータが、ウェブサイトがページがサーバーに送るリファラー情報を制御したい場合に使われることがあります。

プライバシー

ソーシャルネットワーキングサイトには一般的にユーザー個人ページがあり、ユーザーはインターネットへのリンクを追加できます。また、ユーザーがこれらのリンクをクリックした際にページのURLを漏らしたくない場合があります。なぜなら、これらのURLには機密情報が含まれている可能性があるからです。もちろん、一部のソーシャルネットワーキングサイトでは、リファラーにホスト名だけを記載し、URLの完全な情報は記載しない場合もあります。

安全性

httpsを使うウェブサイトの中には、URLにパラメータ(sidなど)をユーザー認証情報として使う場合があり、他のHTTPSサイトからリソースをインポートする必要がある場合、ウェブサイトはユーザーの認証情報を公開したくないでしょう。

オブジェクト・パパビリティ分野

一部のウェブサイトはオブジェクト・ケイパビリティ・ディシプリンに従っており、リファラーはこの戦略の正反対なので、サイト側がリファイヤーを制御できるのは有益です。

技術的詳細:

リファラーのmetedataパラメータは、以下の種類の値に設定できます:

一度もない
いつも
起源
デフォルト

ドキュメントにメタタグを挿入し、name属性の値がrefererの場合、ブラウザクライアントはそのタグを次のように扱います。

ログインが見えます。

上記の手順を踏んだ後、ブラウザが将来HTTPリクエストを行う際には、コンテンツの価値に応じて次のように応答します(以下のreferer-policyの値はメタタグ内のコンテンツの値です):

ログインが見えます。

例
ページに以下のメタタグが含まれている場合、現在のページからのすべてのリクエストはリファラーを持ちません:

ログインが見えます。

ページに以下のメタタグがある場合、現在のページからのHTTPリクエストはオリジン部分のみを持ちます(注:元のテキストの文脈によりますが、ここでのオリジンはスキーマやホスト名を含む部分的なURLであり、パス以降の他のURL部分ではありません)。

ログインが見えます。

注意:この記事で説明されているメタタグを使用すると、ブラウザの元のリファラーポリシーが破られ、例えばhttpプロトコルページからHTTPページにジャンプする場合、適切な値が設定されていればリファラーも同時に引き継がれます。

その他の質問
これはrel=norefererとどう関係しているのでしょうか? rel=ノレファラーがこの記事のメタタグで設定された値を上書きしている可能性があります。つまり、機能的なカバレッジです。
元の情報は完全なURLではないので、ブラウザクライアントはおそらく元の後に/をパス部分として付け加えるでしょう。
もし起源が唯一無二だったらどうなるでしょうか? リファラーは無視されると推定されています。

[HTML/HTML5] Referer Metaタグ付きのリファラー制御—詳細なリファラーポリシー

関連記事

閲覧したセクション