HTMLIFrameElement：referrerPolicy 属性

基线广泛可用

此功能已得到良好建立，并在许多设备和浏览器版本上都能正常工作。它自以下时间起在浏览器中可用： 2021 年 9 月.

HTMLIFrameElement.referrerPolicy 属性反映了 HTML referrerpolicy 属性的 <iframe> 元素，该元素定义在获取资源时发送哪个引用方。

值

no-referrer: 将完全省略 Referer 标头。不会随请求一起发送任何引用方信息。
no-referrer-when-downgrade: 当协议安全级别保持不变（HTTP→HTTP、HTTPS→HTTPS）时，URL 会作为引用方发送，但不会发送到安全性较低的目的地（HTTPS→HTTP）。
origin: 在所有情况下，仅将文档的来源作为引用方发送。文档 https://example.com/page.html 将发送引用方 https://example.com/。
origin-when-cross-origin: 在执行同源请求时发送完整 URL，但在其他情况下仅发送文档的来源。
same-origin: 将为同站点的来源发送引用方，但跨源请求将不包含任何引用方信息。
strict-origin: 仅当协议安全级别保持不变（HTTPS→HTTPS）时，才将文档的来源作为引用方发送，但不要将其发送到安全性较低的目的地（HTTPS→HTTP）。
strict-origin-when-cross-origin（默认）: 如果未指定策略，则这是用户代理的默认行为。在执行同源请求时发送完整 URL，仅在协议安全级别保持不变（HTTPS→HTTPS）时发送来源，并且不向安全性较低的目的地（HTTPS→HTTP）发送标头。
unsafe-url: 在执行同源或跨源请求时发送完整 URL。

注意：此策略会将来自 TLS 保护资源的来源和路径泄露到不安全的来源。仔细考虑此设置的影响。

示例

const iframe = document.createElement("iframe");
iframe.src = "/";
iframe.referrerPolicy = "unsafe-url";
const body = document.querySelector("body");
body.appendChild(iframe); // Fetch the image using the complete URL as the referrer

规范

规范
HTML 标准 # dom-iframe-referrerpolicy

浏览器兼容性

BCD 表格仅在启用了 JavaScript 的浏览器中加载。

另请参阅

HTMLAnchorElement.referrerPolicy、HTMLAreaElement.referrerPolicy 和 HTMLAreaElement.referrerPolicy。