Referrer-Policy治理与信息泄露防护（no-referrer/strict-origin-when-cross-origin）最佳实践

背景与价值Referer可能暴露路径与查询敏感信息。合理的策略能降低泄露风险同时兼顾分析需要。统一规范默认策略：`strict-origin-when-cross-origin`。敏感页面：`no-referrer`。差异化下发：按路径与场景进行策略选择。核心实现策略选择与下发type Req = { path: string } type Res = { setHeader: (k: string, v: string) => void } function isSensitivePath(p: string): boolean { return /(account|payment|settings)/.test(p) } function setReferrerPolicy(req: Req, res: Res) { const v = isSensitivePath(req.path) ? 'no-referrer' : 'strict-origin-when-cross-origin' res.setHeader('Referrer-Policy', v) } 落地建议默认采用严格的同源策略，跨站只传递Origin；敏感页面不传递Referer。定期审计高风险路径与参数，必要时扩大 `no-referrer` 范围。验证清单路径是否按策略下发 `Referrer-Policy`；敏感页面是否为 `no-referrer`。