More than 5 years have passed since last update.

株式会社エイチームフィナジー

Rails5.2でデフォルトで追加されるようになったReferrer-Policyヘッダについて調べた

Posted at 2018-12-13

Rails5.2で、Referrer-Policyヘッダがデフォルトでstrict-origin-when-cross-originに設定されるようになりました。

Add 'Referrer-Policy' header to default headers set

Referrer-Policyについてよく知らなかったため、主にMDN Web Docs - Referrer-Policyを読んで理解したことをまとめていきます。

リファラポリシーとは

HTML5.2から追加された仕様です。
遷移先にリファラを送信する際のポリシーを指定できます。

対応しているHTML要素

<a> <area> <img> <iframe> <link> タグがリファラポリシーに対応しています。

ブラウザの対応状況

MDN Web Docs - ブラウザーの対応を見たところ、
Edge、Internet Explorer、Edge Mobile、iOSのSafariでは未対応のようです。
その他のブラウザでも、バージョンによっては対応していない場合があります。

指定できるポリシー

指定できるポリシーと、送信されるリファラの内容は下記となります。

ポリシー	送信する内容
`no-referrer`	常に送信しません。
`no-referrer-when-downgrade`	`HTTPS` → `HTTP` には送信しません。プロトコルのセキュリティレベルが同一以上であれば URL全体を送信します。ポリシーが指定されていない場合の既定の動作です。
`origin`	常にオリジンのみを送信します。
`origin-when-cross-origin`	同一オリジン間では URL全体を送信します。その他の場合はオリジンのみを送信します。
`same-origin`	同一オリジン間では URL全体を送信します。その他の場合は送信しません。
`strict-origin`	`HTTPS` → `HTTP` には送信しません。プロトコルのセキュリティレベルが同一以上であればオリジンのみを送信します。
`strict-origin-when-cross-origin`	`HTTPS` → `HTTP` には送信しません。同一オリジン間では URL全体を送信します。プロトコルのセキュリティレベルが同一以上であればオリジンのみを送信します。 Rails5.2でデフォルトで設定されるようになったポリシーです。
`unsafe-url`	常に URL全体を送信します。

オリジンとは

プロトコル・ホスト名・ポート番号の組み合わせです。
全て一致していれば同一オリジンですが、どれかが異なればクロスオリジンとなります。

詳しくはMDN Web Docs - 同一オリジンポリシーを参照すると良いでしょう。

HTTPヘッダ以外でも指定ができる

`meta`要素で指定

meta要素で指定

<meta name="referrer" content="origin">

各要素ごとに指定

<a> <area> <img> <iframe> <link> 要素では、各要素ごとにreferrerpolicy属性を指定できます。

referrerpolicy属性で指定

<a href="http://example.com" referrerpolicy="origin">

また、 <a> <area> <link> 要素では、リレーション属性でも指定可能です。

rel属性で指定

<a href="http://example.com" rel="noreferrer">

優先順位は？

WHATWG - Referrer policy attributesによると、以下の順序でリファラポリシーが決定するようです。

rel属性
referrerpolicy 属性
<meta>要素
Referrer-Policyヘッダ

Rails5.2でデフォルトで指定されるようになったReferrer-Policyヘッダは、一番優先順位が低いため、<meta>要素等で指定されていればそちらが優先されるようです。

Railsで`Referrer-Policy`ヘッダのポリシーを変更する方法

Referrer-Policyヘッダのポリシーを変更する場合は、
config/application.rbやconfig/environments/*.rbで、以下を追加すれば変更できます。

Rails5.2以前のバージョンでも、必要に応じて適切なポリシーを設定すると良いですね。
ページごとに異なる場合は<meta>タグで指定すれば良さそうです。

# リクエストヘッダに含める Referrer-Policy を no-referrer-when-downgrade に変更する
config.action_dispatch.default_headers['Referrer-Policy'] = 'no-referrer-when-downgrade'

まとめ

サイト運営者側としては、リファラを辿れば様々な情報が取得できるため便利ですが、
プライバシーの保護やセキュリティ面を考えると、リファラポリシーを制御することも大切だなぁと感じました。

よく「HTTPSからHTTPに遷移する際にはリファラが送信されない」というような記事を見て、そういうものなのだと何となく思ってしまっていましたが、リファラポリシーの挙動が分かったことにより理解が深まったので良かったです。

最後までお読みいただき、ありがとうございました。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up