在现代网站运营中,流量来源数据对营销归因、转化分析和用户行为洞察至关重要。然而,浏览器的 Referrer-Policy 设置直接影响分析工具能否获取完整来源 URL。本文将详细列出所有 Referrer-Policy 值,并分析其对分析工具数据完整性、跨域追踪和安全性的影响。
Referrer-Policy 全值与行为概览
Referrer-Policy 控制浏览器在请求资源时发送的Referer 信息。不同策略在同源、跨源、HTTPS→HTTP 的处理方式不同,直接影响分析工具的数据采集能力。
| 策略 | 同源请求 | 跨源请求 | HTTPS→HTTP | URL 参数传递 | 分析工具影响 | 风险/说明 |
|---|---|---|---|---|---|---|
no-referrer |
不发送 | 不发送 | 不发送 | 无 | 来源全部丢失,分析工具显示“直接访问” | 最安全,数据最少 |
no-referrer-when-downgrade |
发送完整 URL | HTTPS→HTTP 不发送 | 不发送 | 同源可用 | 来源大部分可追踪 | 老浏览器默认,安全性中等 |
origin |
发送源(协议+域名+端口) | 发送源 | 发送源 | 路径和参数丢失 | 跨域来源仅显示域名,UTM参数丢失 | 数据归因精度下降 |
origin-when-cross-origin |
同源发送完整 URL | 跨源发送源 | HTTPS→HTTP 不发送 | 跨源 URL 参数丢失 | 同源分析精确,跨源精度低 | 跨域营销追踪受限 |
same-origin |
发送完整 URL | 不发送 | 不发送 | 仅同源 URL 可用 | 跨域访问显示为“直接访问” | 安全高,但跨域数据缺失 |
strict-origin |
发送源 | 发送源 | HTTPS→HTTP 不发送 | URL 参数丢失 | 跨域来源仅显示域名 | 安全较高,精度低 |
strict-origin-when-cross-origin |
同源发送完整 URL | 跨源发送源 | HTTPS→HTTP 不发送 | 跨源 URL 参数丢失 | 平衡数据完整性与安全性 | 现代默认策略,推荐使用 |
unsafe-url |
始终发送完整 URL | 始终发送完整 URL | 始终发送完整 URL | URL 参数完整 | 数据完整性最高,UTM/Query 参数可用 | 安全性最低,敏感信息可能泄露 |
说明:
- 同源请求:协议、域名、端口完全相同(子域要完全一样)。
- 跨源请求:域名不同。
- HTTPS→HTTP:从安全协议访问非安全协议。
- URL 参数包含 UTM、查询字符串等营销信息。
- 如果设置默认是:
strict-origin-when-cross-origin
Referrer-Policy 对分析工具的核心影响
流量来源归因
- 严格策略(如
no-referrer,same-origin):跨站流量来源丢失,分析工具显示“直接访问”。 - 宽松策略(如
unsafe-url):可获取完整来源 URL,精准追踪广告和合作渠道效果。
跨域追踪
- 多子域或第三方服务时,严格策略导致用户会话被拆分,新访客数虚高。
- 现代默认策略
strict-origin-when-cross-origin可保证同源完整,跨源只发送域名,平衡追踪与隐私。
URL 参数追踪
- UTM 参数和 Query String 是广告归因核心。
- 严格策略可能丢失这些参数,影响营销效果评估。
unsafe-url完整保留,但可能泄露敏感信息。
最佳实践
- 避免
unsafe-url在生产环境使用:数据完整性虽高,但风险极大。 - 推荐
strict-origin-when-cross-origin:平衡数据完整性与安全性,适用于大多数网站和分析场景。 - URL 中避免敏感信息:不要将用户 ID、Token 或会话信息放入 URL。