Sagt mal, gibt es irgendeinen Weg, das strict-origin-when-cross-origin bei iFrames zu umgehen, also dauerhaft, ohne dass der User, der das einbindet, was ändern kann?
Bisher war der Default-Wert der Referrer-Policy ja immer "no-referrer-when-downgrade". Er wurde also vollständig gesendet, wenn das Ziel das gleiche Schema (beide SSL oder beide nicht oder eben das Ziel ein besserer hatte) hatte. Das war unabhängig ob es der gleiche Host ist oder nicht.
Das wurde nun geändert, erst bei Chrome, dann bei Edge und nun bei Firefox. Neuer Default-Wert ist nun "strict-origin-when-cross-origin" und der sendet nur noch vollständig, wenn es der gleiche Host ist. Bei cross-Origin kommt nur noch als Referrer der "Origin", aber kein Path mehr.
Für mich mit meinen 50.000 externen Kalendern ganz schlecht, denn ich kann quasi keinen mehr erfassen, denn es kommt ja nur noch der Host als Referrer zurück und nicht mehr die eigentliche Seite.