Referrer-PolicyReferrer-Policy는 브라우저가 다른 페이지로 이동하거나 리소스를 요청할 때 Referer 헤더에 얼마나 많은 출처 정보를 담을지를 제어하는 보안·프라이버시 헤더입니다. 전체 URL·오리진만·아무것도 안 보냄 사이에서 정책을 고를 수 있습니다.
값은 no-referrer부터 strict-origin-when-cross-origin, unsafe-url까지 여러 정책 중 하나(또는 폴백을 위한 목록)입니다.
Referer 헤더에는 사용자가 어느 페이지에서 왔는지가 담기는데, 여기에는 경로·쿼리스트링에 든 민감한 정보(세션 토큰·검색어·내부 URL 구조)가 새어나갈 수 있습니다. Referrer-Policy는 이 유출을 통제합니다. 예를 들어 strict-origin-when-cross-origin은 같은 사이트 내 이동에는 전체 URL을 주지만, 외부 사이트로 나갈 때는 스킴+호스트(오리진)만 보내고, HTTPS에서 HTTP로 내려갈 때는 아무것도 보내지 않습니다.
이 정책이 현재 대부분의 브라우저 기본값이며, 프라이버시와 실용성(외부 분석·리퍼러 통계 유지) 사이의 균형점입니다. 더 엄격히 하려면 same-origin이나 no-referrer를, 리퍼러가 전혀 필요 없으면 no-referrer를 씁니다.
정책은 응답 헤더 외에 <meta name="referrer">나 개별 링크의 rel="noreferrer", referrerpolicy 속성으로도 지정할 수 있어 페이지·요소 단위로 세분화가 가능합니다.
Referrer-Policy: <policy>[, <policy>]*e.g. Referrer-Policy: strict-origin-when-cross-origin
no-referrer | Referer 헤더를 절대 보내지 않습니다. |
same-origin | 같은 오리진 요청에만 전체 URL을 보내고, 교차 오리진에는 보내지 않습니다. |
strict-origin | 오리진만 보내되 HTTPS→HTTP 강등 시에는 보내지 않습니다. |
strict-origin-when-cross-origin | 동일 오리진엔 전체 URL, 교차 오리진엔 오리진만, 강등 시 미전송(현대 기본값). |
no-referrer-when-downgrade | 보안 강등(HTTPS→HTTP) 시에만 미전송, 그 외엔 전체 URL(구 기본값). |
origin / origin-when-cross-origin / unsafe-url | 각각 항상 오리진만 / 교차 시 오리진만 / 항상 전체 URL(위험). |