erlaubte Werte
|
-
no-referrer : Der Referer-Header wird nicht gesendet.
-
no-referrer-when-downgrade : Der Referer-Header wird nicht an Originale ohne TLS (HTTPS) gesendet.
-
origin : Der gesendete Referer wird auf den Ursprung der verweisenden Seite beschränkt: ihr Schema, ihr Host und ihr Port.
-
origin-when-cross-origin : Der Referrer, der an andere Ursprünge gesendet wird, wird auf das Schema, den Host und den Port beschränkt. Navigationen auf demselben Ursprung enthalten weiterhin den Pfad.
-
same-origin : Es wird ein Referrer für denselben Ursprung gesendet, aber herkunftsübergreifende Anfragen enthalten keine Referrer-Informationen.
-
strict-origin : Der Ursprung des Dokuments wird nur als Referrer gesendet, wenn die Protokollsicherheitsstufe gleich bleibt (HTTPS→HTTPS), aber nicht an ein weniger sicheres Ziel (HTTPS→HTTP).
-
strict-origin-when-cross-origin (Standard): Sendet eine vollständige URL, wenn eine Anfrage gleichen Ursprungs durchgeführt wird, sendet nur den Ursprung, wenn die Protokollsicherheitsstufe gleich bleibt (HTTPS→HTTPS), und sendet keinen Header an ein weniger sicheres Ziel (HTTPS→HTTP).
-
unsafe-url : Der Verweis enthält den Ursprung und den Pfad (aber nicht das Fragment, das Passwort oder den Benutzernamen). Dieser Wert ist unsicher, da er Herkunft und Pfad von TLS-geschützten Ressourcen an unsichere Quellen weiterleitet.
|