Chrom referer 정책 변화

최근 크롬 브라우저에서는 서로 다른 도메인간 정보의 제공을 제한 하는 것으로 정책을 변경하였습니다

 

서로 다른 도메인간에도 referrer 정보를 제공하기 위해서는, 

결국,

각 페이지 head 영역에 

<meta name="referrer" content="unsafe-url">

를 삽입해야 합니다.

 

 

*2020년 7월 이전 referer 정책은

no-referrer-when-downgrade

 

*2020년 7월 이후 chrome 85버전 이후 referer 정책

strict-origin-when-cross-origin

 

referer header에는 http 요청이 호출된 origin이나 웹페이지 url이 담겨 있습니다

사이트에서 호출하는 request의 referer는 사이트에서 설정한 Referrer-Policy header 정책에 따라 달라집니다.

(일반적으로 referer는 referer header으로 참조하며,

사이트 내부에서 호출하는 navigtaion, iframe 에서는 document.referrer 으로 참조 )

 

 

--------------------------- 예 ---------------------------

 

1. no-referrer-when-downgrade

- 대상 주소가 HTTPS 일때만 전송

<meta name="referrer" content="no-referrer-when-downgrade" />

 

2. strict-origin-when-cross-origin

- 대상 주소의 도메인이 같을경우, 전송

- 대상 주소의 도메인이 다를 경우, 도메인 주소만 전송

- 대상 주소가 http일 경우는, 제거

<meta name="referrer" content="strict-origin-when-cross-origin" />

 

예를 들어, https://site-one.example/stuff/detail?tag=red 에서 https://site-two.example/ 로 접속했을 때,

 

#no-referrer-when-downgrade 일 경우,

referer => https://site-one.example/stuff/detail?tag=red

 

# strict-origin-when-cross-origin 일 경우,

referer => https://site-one.example/

 

*Firefox 나 Edge 는 아직 no-referrer-when-downgrade 을 사용하고 있으나

Chrome 의 영향력을 생각하면 장기적으로 보안정책 대응은 불가피합니다.