Referrer-Policyにはどのような観点で、どのディレクティブを採用するのが良いかという話
Referrer-Policyについては、以前に調べていたが、確かにどのディレクティブを採用するのがいいのかは考えてなかった
記事を読むに、Referer からの情報漏洩を恐れて闇雲にno-referrerにしてしまうのはセキュリティ面でプラスにならないとのこと
これは以前にJxckさんの記事で学んだように「リクエストの出自の検証」はセキュリティ面でプラスがあるので、できる限りリクエストの出自は残した方が良いという話につながる
なので、できる限りリクエストの出自を残し、かつ、安全な以下の設定が良いと考えられる
strict-origin-when-cross-originsame-origin
strict-origin-when-cross-originはCrossオリジンなら「Origin」だけ、Sameオリジンなら「Full Path」を送るという設定で、same-originはCrossオリジンには「Origin」すら送らないようにするよりセキュアな設定
ブラウザのデフォルトはstrict-origin-when-cross-originであるようなので、
もしこれで問題なければそのまま明示的な設定は不要で、よりセキュアにしたければ明示的にsame-originにする方針が良さそう
一部の記事ではno-referrerが最も安全だという主張しているものがあるらしいので注意したい
