referrer policy: strict-origin-when-cross-origin 是一种用于处理跨源请求中的引用者策略。当浏览器发送跨源请求时，该策略决定了在请求头中如何包含引用者信息。

在该策略下，当跨源请求时，请求头部的 Referer 字段仅包含了源为同源的 URL，而对于非同源的 URL，则不包含引用者信息。这样做的目的是为了在一定程度上保护用户的隐私和安全。

该策略的具体处理流程如下：

1. 如果请求源与当前页面源相同时，将会在请求头的 Referer 字段中包含完整的 URL。

2. 如果请求源与当前页面源不同，并且请求的目标也不是同源，则不会在请求头的 Referer 字段中包含引用者信息。

3. 如果请求源与当前页面源不同，但请求的目标为同源，则会在请求头的 Referer 字段中包含引用者信息。

通过 strict-origin-when-cross-origin 策略，可以避免将引用者信息发送给非同源的目标，并减少了可能的安全风险。然而，此策略并不能提供完全的防护措施，因此在涉及敏感信息或安全性较高的场景下，仍需要其他安全机制来保护用户的数据。

Referrer Policy: strict-origin-when-cross-origin 是一个HTTP头，用于指定在跨域请求时浏览器发送的 Referer 头的值。当发送同源请求时，Referer 头包含完整的 URL，而在跨域请求时，Referer 头只包含源信息。这种策略可以在一定程度上减少跨站点信息泄露的风险。具体来说，当从 HTTPS 站点跳转到 HTTP 站点时，Referer 头不会被发送。

来自  https://wenku.csdn.net/answer/b0dbd9d36747d81cfad2ad469d2ef169