referrerpolicy属性作用及隐私保护详解

referrerpolicy 属性并非全站隐私“开关”，而是精准作用于单个元素触发的单次请求，对 Referer 头进行即时裁剪——它不继承、不传递、不干预 window.location 跳转或 iframe 加载，表单提交更需显式声明才生效；实际效果必须通过服务端原始请求头验证，而非依赖浏览器开发者工具；更重要的是，它仅控制“你发什么”，无法阻止目标网站或中间链路（如 CDN、代理）记录、滥用甚至伪造 Referer，因此涉及敏感参数（如 token）的关键跳转，必须辅以后端校验或短期令牌机制，才能真正筑牢隐私防线。

referrerpolicy 属性不是“开关”，而是对单次请求的 Referer 头做即时裁剪——加了它，不等于全站隐身；没加它，也不代表信息全量泄露。它的效果严格绑定在触发请求的那个元素上，且只生效一次。

referrerpolicy="no-referrer" 为什么点开链接后新页面里 still 有 Referer？

因为 referrerpolicy 不继承、不传递。它只管当前元素发起的那一次请求（比如点击一个 标签），不管新页面后续自己发的任何请求（如新页面里的 、fetch() 或自动跳转）。