用对 referrerpolicy：可控的来源头与隐私边界

在网页与后端交互的场景里，浏览器会附带发送一个来源头（Referer），它像是一把“来由”的钥匙，告诉服务器你是从哪里跳转过来的。在用户日益关注隐私的当下，直接暴露来源有时会带来安全与合规风险。referrerpolicy 出现在 <meta> 或请求头中，提供了一种在可控范围内裁剪信息、平衡安全与体验的手段。

何时需要调整来源头

设想你在做一个内部文章聚合页，或者在做第三方嵌入，不想让来源暴露到公开可访问的站点，或者需要满足平台的隐私合规要求。这时通过 referrerpolicy 就能精细地控制 Referer 的发送策略，而无需改动后端或依赖插件。

基础策略与常见选项

常见的可选策略有：

• no-referrer：不发送来源信息，最隐秘但可能影响链接追踪与安全判断。
• no-referrer-when-downgrade（默认）：只在请求未被降级（如从 HTTPS 到 HTTP）时发送来源，兼顾安全与可追踪性。
• origin：仅发送协议+域名（如 https://example.com），减少信息量。
• origin-when-cross-origin：只在跨域时发送最小来源（仅协议+域名），同源请求不发送。
• same-origin：仅在同源请求时发送完整的来源，跨域不发送。
• strict-origin：在同域或同协议的跨域请求中，只发送协议+域名；HTTPS 到 HTTP 不发送。
• strict-origin-when-cross-origin：跨域请求仅在同协议且同源时发送，否则不发送。

实战中的取舍

在实际使用中，需要根据场景做取舍：

• 隐私优先：优先使用 no-referrer 或 strict-origin-when-cross-origin，减少敏感信息外泄。
• 既想追踪又想安全：使用 no-referrer-when-downgrade，在降级风险高时保留来源。
• 嵌入第三方资源：为第三方图片、脚本或样式表设置 origin 或 origin-when-cross-origin，在保证内容安全的同时，减少信息暴露。

元信息与请求头的设置

有两种常见方式可配置 referrerpolicy：

• 在 HTML 的 <meta> 标签中：用于控制文档本身的来源头，如在 <head> 中加入 <meta name="referrer" content="no-referrer">。
• 在响应头中：更灵活，可针对不同域名或路径设置不同的策略，如 Referrer-Policy: no-referrer-when-downgrade。

在服务端配置时，优先考虑使用响应头，因为策略可按路径、域名或条件路由进行精细化控制。

兼容性与注意事项

多数现代浏览器都支持这些策略，但兼容细节仍可能存在差异。建议在上线前进行同域与跨域的来源头抓取与比对，确认输出与预期一致，避免因浏览器实现差异导致体验或安全问题。

结语

掌握 referrerpolicy，就像为你的网页加了一把“隐私盾”。在合规与安全、追踪与体验之间找到合适的平衡点，不仅能保护用户信息，也能让网站在复杂的网络环境中更稳地运行。