更新日: 2025年11月18日
ウェブサイト分析、広告トラッキング、セキュリティ保護において、Referrer Policy(リファラーポリシー) は、ブラウザがリダイレクトやリソースリクエストを行う際に、参照元URLを宛先サイトに送信するかどうか、またどのように送信するかを制御する、非常に重要なHTTPヘッダーおよびHTML属性です。
Referrer Policyとは?
- Referrer(リファラー):ブラウザがHTTPリクエストを送信する際に、前のページのURL情報を付加するものを指します。これにより、ユーザーがどのページから遷移してきたかを宛先サイトに伝えます。
- Referrer Policy:クロスオリジンまたは同一オリジンリクエスト時に、ブラウザがリファラー情報を送信するかどうか、および送信する情報の完全性を制御します。
主な作用は以下の通りです:
- プライバシー保護:リクエストに完全なURL(例:センシティブなパラメータやトークンを含む)が漏洩するのを防ぎます。
- セキュリティ保護:クロスサイトへのリファラー情報送信を防止し、情報漏洩のリスクを低減します。
- 分析とトラッキング制御:GA4、Adobe Analyticsなどのツールにおけるトラフィックソースの計測方法を調整します。
Referrer Policyの設定方法
Referrer Policyは、HTTPヘッダーまたはHTML metaタグで設定できます:
HTTPヘッダー(サーバー設定)
Referrer-Policy: no-referrer-when-downgrade
HTML Metaタグ(ページ設定)
<meta name="referrer" content="no-referrer-when-downgrade">
Referrer Policyの主な値と説明
| 値 | 説明 | 適用シナリオ |
|---|---|---|
no-referrer |
リファラーURLを一切送信しない | あらゆる参照元情報の漏洩を避けたい、高いプライバシーが必要な場合 |
no-referrer-when-downgrade |
同一プロトコル(HTTPS→HTTPS)では送信、ダウングレードリクエスト(HTTPS→HTTP)では送信しない | 互換性とプライバシーのバランスが取れており、ほとんどのウェブサイトに適する |
origin |
参照元のホスト名(ドメイン)のみを送信し、パスとパラメータは含めない | 分析やクロスサイトトラッキングで部分的に参照元情報が必要な場合に適する |
origin-when-cross-origin |
同一サイト内では完全なURL、クロスサイト時はドメインのみを送信 | 参照元情報を細かく制御し、センシティブなパラメータを保護する |
same-origin |
同一サイト内でのみリファラーを送信し、クロスサイトでは送信しない | クロスサイト参照元情報を制限し、プライバシーを強化する |
strict-origin |
同一オリジンでは完全なURL、クロスサイト時はドメインのみを送信し、ダウングレードリクエストでは送信しない | 高いプライバシーが要求され、クロスサイトでの情報漏洩を防ぎたい場合 |
strict-origin-when-cross-origin (デフォルト) |
同一オリジンでは完全なURL、クロスサイト時はドメインのみを送信し、ダウングレードリクエストでは送信しない | プライバシーと分析のニーズをバランス良く満たす推奨値 |
unsafe-url |
同一サイト、クロスサイトを問わず、常に完全なURLを送信 | 完全なパラメータやセンシティブ情報が漏洩するため、非推奨 |
注意:ブラウザによっては一部の値のサポート度が異なる場合があります。互換性を確認するためのテストが推奨されます。
Referrer Policyの影響分析
Referrer Policyの設定は、以下の側面に直接影響を与えます:
- プライバシーとセキュリティ:センシティブなデータの漏洩やクロスサイトトラッキングを防止します。
- トラフィック分析:リファラー情報が不完全になる可能性があり、レポートの精度に影響を与える場合があります。
- 広告配信とリターゲティング:クロスサイトでのコンバージョントラッキングが制限され、補完的な戦略が必要になる場合があります。
ここでは主にトラフィック分析に焦点を当てます。GA4やAdobe Analyticsなどのツールはユーザーの参照元を判断するためにReferrerに依存しているため、リファラーが切り詰められたりドメイン名のみが送信されたりすると、「direct / none」トラフィックが増加する可能性があります。ただし、デフォルトの strict-origin-when-cross-origin は最適なバランスを提供し、GA4やAdobe Analyticsなどのツールの計測に影響を与えることは基本的にありません。
