Chrome 85의 Referer 정책 변화

요약

• 크롬은 85 버전 (2020.07 출시)부터 strict-origin-when-cross-origin 정책의 기본값을 enable으로 설정하기 시작했다. 이 영향으로 referer의 origin이 다른 경우, url path, parameter를 수집할 수 없는 경우가 발생하게 된다. 
• 웹사이트에 referer 정책을 meta 태그로 설정해둔 경우, 이와 같은 문제는 발생하지 않는다. 크롬에서는 웹사이트에 referer 정책이 선언되어있지 않은 경우에만 브라우저의 referer 정책을 따른다. 
• 각 브라우저의 referer 정책 설정은 chrome://flags/#reduced-referrer-granularity 에서 확인할 수 있다.

변하지 않는 것

• origin이 동일하다면, strict-origin-when-cross-origin 이여도 referer은 전체 url을 보낸다.
  • Referer: https://site-one.example/stuff/detail?tag=red
• strict-origin-when-cross-origin 도 no-referrer-when-downgrad처럼 보안이 안전하다. https 페이지에서 http를 호출할 때, referer을 보내지 않는다.

Chrome 81 버전 테스트하기

크롬에서 기본 레퍼러 정책을 strict-origin-when-cross-origin 으로 활성화시키면, 정책 변화를 테스트할 수 있다. ( chrome://flags/#reduced-referrer-granularity )

 

해결하기

웹 페이지에 referer 메타 태그를 추가하면, 브라우저 레퍼러 정책을 따르지 않는다.

<meta name="referrer" content="no-referrer-when-downgrade" />

참고: https://americanopeople.tistory.com/358