Referrer-Policy Inspect
セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
Referrer-Policy を貼り付けて「解析」。値の一覧を表示します。
注意(このツール)
- Referrer-Policy: / meta の内容 / 値のみ、いずれでも解析できます。
このページについて
何をするツール?
Referrer-Policy ヘッダーを解析し、どのポリシー値が指定されているかを一覧表示します。
複数値が指定されている場合の順序確認や、意図しない値の混入チェックに向きます。
リファラはプライバシーとセキュリティに直結するため、見直しポイントが多いヘッダーのひとつです。
Referrer-Policy の基本
- 送信されるリファラ(参照元URL)の範囲を制御します。
- 「no-referrer」は完全に送信しません。
- 「origin」はオリジンのみを送信します。
使いどころ
- 外部サイトへ遷移する際の情報漏えいを抑えたい
- 社内リンクは詳細、外部は最小限にしたい
- セキュリティ監査でプライバシー設定を確認したい
代表的なポリシー値
- no-referrer:送らない
- strict-origin-when-cross-origin:同一は全文、外部はオリジン(HTTPS→HTTPは送らない)
- same-origin:同一オリジンのみ送信
- origin-when-cross-origin:同一は全文、外部はオリジン
構文(読み方)
Referrer-Policy はカンマ区切りで複数の値を並べられます。ブラウザは「理解できる最後の値」を採用します(フォールバック用途)。
- Referrer-Policy: no-referrer, strict-origin-when-cross-origin(新しいブラウザは後者を採用)
- 値はヘッダーだけでなく <meta name="referrer" content="..."> でも指定できます。
デフォルト挙動の考え方
何も指定しない場合の既定値は環境やブラウザ実装の影響を受けます。運用でブレを減らすなら明示的に指定するのが安全です。
近年よく使われるのは strict-origin-when-cross-origin で、社内は解析しやすく、社外への漏えいは抑えやすいバランス型です。
プライバシー/情報漏えい観点
リファラにはパスやクエリが含まれ得ます。クエリにユーザーIDやトークンが含まれていると、外部サイトやログへ漏れる可能性があります。
- 外部には origin までに抑える(または送らない)
- UTMなど必要情報はクエリに載せつつ、機微情報は載せない設計にする
計測/マーケ観点(落としどころ)
Referrer-Policy は「安全寄りにすると計測が粗くなる」ことがあります。どこまで必要か(社内/社外・B2B/B2C)で落としどころが変わります。
- 社内分析が重要:同一オリジンは全文、外部はオリジンにする(strict-origin-when-cross-origin)
- 機微性が高い:no-referrer も検討
よくある落とし穴
- ポリシー値をカンマ区切りで複数指定したが順序が意図と違う
- HTTPS→HTTPのダウングレードで送信される/されない差を見落とす
- フレーム内遷移やサードパーティの影響を見落とす
関連する制御(rel / meta)
Referrer-Policy は全体方針ですが、リンク単位でも抑制できます。
- リンクに rel="noreferrer" を付ける(そのリンクだけ送らない)
- <meta name="referrer" content="..."> でページ単位に指定
このツールでできること
- ポリシー値の分解表示
- 複数指定時の順序確認
- 不要な値の混在を確認
運用フロー(おすすめ)
- 現状ヘッダーを貼り付けて可視化 → 意図した値になっているか確認
- 社内/社外の要件(計測/機微情報)を整理して方針を決める
- 実際の遷移でNetwork/DevToolsで送信リファラを確認
注意(運用)
- 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
- 本番では段階導入とレポート監視を併用してください。
参照仕様
- Referrer Policy (W3C)
- MDN: Referrer-Policy
FAQ
複数値を指定する意味は?
古いブラウザ向けにフォールバックを用意する目的です。対応している最後の値が採用されます。
CSPのreferrerディレクティブとの違いは?
CSPのreferrerは廃止方向で、現在はReferrer-Policyヘッダー推奨です。
CSP / CORS / Permissions-Policy と何が違う?
Referrer-Policy は参照元情報(リファラ)の送信範囲を制御します。CSPはリソース読み込み制御、CORSはクロスオリジンの読み取り、Permissions-Policyはブラウザ機能の利用可否を制御します。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
同テーマの導線
セキュリティヘッダー
不足ヘッダーの検出から修正計画まで一気に進める
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
- CSP Builder — テンプレートからCSPを組み立て
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- CSP Inspect — CSPディレクティブを分解して評価
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
Example
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: no-referrer, strict-origin-when-cross-origin