HTTPSサイトからの遷移時に内部サイトのリファラがもれないようにする。サーバー側設定Referrer-Policy

nginx をつかってブラウザにリファラをおもらししないように命令する

社内のファイルサーバーのリファラURLが漏れると恥ずい。いやまずい。

何がまずいかというとファイル名が漏れてしまったり、アクセス元のURLとして晒されたり、検索インデックスに追加される恐れがあるからだ。

server {
    add_header Referrer-Policy no-referrer always;
}

これを書くと、ブラウザがリファラを送らなくなる。一般的なブラウザの場合だけどね。サーバー側で制御できるものはしちゃったほうが良いね。

リファラでファイル名がバレるとそれを使っってターゲット・フィッシングメールが作れるもんね。

origin
same-origin
strict-origin

基本的に使わない。このサイトからリファラを送るならURLにパスを入れないでくれ。リファラURLでなく、リファラドメインだけが送られる。

基本的にコレ。このサイトでは同一ドメインでリファラを送ってくれ。 HTTPでセットされたとき、HTTP→HTTP(s)で送られる、HTTPSでセットされたとき、HTTPS→HTTPSのみ、HTTPS→HTTPはリファラ対象外。

このサイトではリファラを絶対送らないでくれ。というヘッダ。

詳しくは、参考資料のMDNページ