Referrer-Policy とは、 HTTP レスポンスヘッダーでリファラー情報の送信範囲を制御するセキュリティ機構です。ページ遷移時にどの程度のリファラー情報を次のページに送信するかを、サイト運営者が細かく制御できます。
主要なポリシー値は、 no-referrer (リファラーを一切送信しない) 、 origin (ドメイン名のみ送信、パスは除外) 、 strict-origin-when-cross-origin (同一オリジンではフル URL 、クロスオリジンではドメインのみ、 HTTPS → HTTP では送信しない) です。 Chrome のデフォルトは strict-origin-when-cross-origin です。
Referrer-Policy の設定が重要になるケースとして、 URL にセンシティブな情報 (セッション ID 、検索クエリ、ユーザー ID など) が含まれる場合があります。リファラーとしてフル URL が送信されると、これらの情報が外部サイトに漏洩します。 origin ポリシーを設定すれば、ドメイン名のみが送信されるため、パスに含まれるセンシティブ情報の漏洩を防げます。
短縮 URL サービスでは、リダイレクト時のリファラー送信ポリシーがクリック解析の精度に影響します。 no-referrer を設定すると、リダイレクト先のページがアクセス元 (短縮 URL をクリックしたページ) を特定できなくなります。関連書籍は Amazon でも探せます。