此页面由社区从英文翻译而来。了解更多并加入 MDN Web Docs 社区。
HTMLIFrameElement:referrerPolicy 属性
Baseline Widely available *
This feature is well established and works across many devices and browser versions. It’s been available across browsers since 2020年9月.
* Some parts of this feature may have varying levels of support.
HTMLIFrameElement.referrerPolicy 属性表示了<iframe> 元素的referrerpolicy 属性,该属性定义了在获取资源时发送哪个引用者。
值
no-referrerReferer标头将被完全省略。请求时不会发送任何引用者信息。no-referrer-when-downgrade当协议安全级别保持不变(HTTP → HTTP、HTTPS → HTTPS)时,URL 作为引用者发送,但不会发送到安全性较低的目的地(HTTPS → HTTP)。
origin在所有情况下仅发送文档的源作为引用者。
https://example.com/page.html文档将发送引用者https://example.com/。origin-when-cross-origin执行同源请求时发送完整的 URL,但在其他情况下仅发送文档的源。
same-origin将同源策略发送给引用者,但跨源请求将不包含引用者信息。
strict-origin当协议安全级别保持不变(HTTPS → HTTPS)时仅发送文档的源作为引用者,但不发送到安全性较低的目的地(HTTPS → HTTP)。
strict-origin-when-cross-origin(默认值)这是用户代理未指定策略时的默认行为。执行同源请求时发送完整的 URL,仅当协议安全级别保持不变(HTTPS → HTTPS)时发送源,并且不向安全性较低的目的地(HTTPS → HTTP)发送任何标头。
unsafe-url当执行同源或跨源请求时发送完整的 URL。
备注:此策略将把受 TLS 保护的资源的源和路径泄露给不安全的源。仔细考虑此设置的影响。
示例
const iframe = document.createElement("iframe");iframe.src = "/";iframe.referrerPolicy = "unsafe-url";const body = document.querySelector("body");body.appendChild(iframe); // 使用完整的 URL 作为引用源来获取图像规范
| Specification |
|---|
| HTML # dom-iframe-referrerpolicy |