1. ホーム
  2. 質問と答え
  3. <meta name = 'referrer'>が動作し、Referrer-Policyヘッダーが無効です

<meta name = 'referrer'>が動作し、Referrer-Policyヘッダーが無効です

2016-11-04 11 views
0

連邦政府のWebサイトがhttps-onlyに移行しています。私たちは、そのサイトがhttpのみを使用しているときに、参照元が消えたというリンク先のサイトからの苦情を受けました。これは、デフォルトではhttps-> http downgradeが参照元を非表示にするためです。<meta name = 'referrer'>が動作し、Referrer-Policyヘッダーが無効です

HTTPリクエストヘッダReferrer-Policy: origin-when-cross-originを使用しようとしていますが、動作していないようです。しかし、実際には<meta name='referrer' content='origin-when-cross-origin'>とすると、ほとんどのブラウザで正しい動作が得られます。

我々は、ヘッダ設定されています

<pre> 
 
$ curl -sI https://www.ncbi.nlm.nih.gov/corecgi/tests/testref.cgi 
 
HTTP/1.1 200 OK 
 
Date: Fri, 04 Nov 2016 20:53:38 GMT 
 
Server: Apache 
 
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload 
 
Content-Security-Policy: upgrade-insecure-requests 
 
Referrer-Policy: origin-when-cross-origin 
 
Content-Security-Policy-Report-Only: default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval'; font-src https: data:; img-src https: data:; style-src https: 'unsafe-inline'; report-uri https://www.ncbi.nlm.nih.gov/corecgi/csp/csp.cgi 
 
Referrer-Policy: origin-when-cross-origin 
 
Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS, PATCH, DELETE 
 
Access-Control-Allow-Origin: 
 
Access-Control-Allow-Credentials: true 
 
Access-Control-Allow-Headers: X-Accept-Charset,X-Accept,Content-Type,X-Requested-With,NCBI-SID,NCBI-PHID 
 
Content-Type: text/html 
 
Vary: Accept-Encoding 
 
X-UA-Compatible: IE=Edge 
 
X-XSS-Protection: 1; mode=block 
 
</pre>

をしかし、それヘッダーが動作しません:https->のhttpダウングレードリンクが送信するhttps://www.ncbi.nlm.nih.gov/corecgi/tests/testref.cgi お知らせ:

はこれを試してみてください空白のヘッダ

ただし、<meta> e https://www.ncbi.nlm.nih.gov/corecgi/tests/testref.cgi?meta=true

他に誰かがこの問題を抱えていたのですか?

出典

2016-11-04 elucify

+0

私はあなたが二度ヘッダーを送っているに気づきます。一度それを送って、それが行動を変えるかどうかを見てみましたか? – Konklone

+0

どのブラウザ+バージョンでテストしていますか? Referrer-Policyヘッダーは、Chrome 56以降でのみサポートされています(以前のバージョンでは特別なフラグを設定しない限り)。 – Emily

答えて

2

Chromeは約ですが、かなりまだ、リファラー・ポリシーヘッダーサポートしていないように見えます:それはクローム56で利用できるようになります

を安定している。 Chrome 53以降の旗の下にあるので、--enable-experimental-web-platform-featuresでChromeを実行して試してみることができます。

リファラー・ポリシーヘッダのサポートは、Firefox 50で出荷されます:

出典

2016-11-08 18:51:26 Konklone

+0

ありがとう、ちょうどこのアドバイスを得た。 – elucify

関連する問題

 関連する問題