referrer policy: strict-origin-when-cross-origin

### 回答1：
"referrer policy: strict-origin-when-cross-origin" 意思是当跨域请求时，Referer 头部将只包含来源域。这意味着，如果请求的 URL 与当前页面的 URL 不在同一个域中，则 Referer 头部将不会包含来源页面的路径和查询字符串。

### 回答2：
referrer policy: strict-origin-when-cross-origin 是一种浏览器安全策略，旨在保护用户的隐私安全。在用户使用浏览器访问网站时，每个网页都会有一个 Referrer（推荐来源），用于告知服务器用户是从哪个网页跳转过来的。但是，若用户从https网页跳转到http网页，或从一个域名跳转到另一个域名，Referrer 中会携带许多用户隐私信息（如搜索的关键词、用户的 IP 地址等），有可能被攻击者窃取和分析，从而对用户的隐私造成威胁。

因此，Web 安全专家在设计浏览器时，增加了 Referrer Policy 配置。其中，referrer policy: strict-origin-when-cross-origin 是其中一种策略。具体来说，它的作用是：在跨域请求的时候，只发送相同源的或者协议相同的 Referrer，不发送携带用户隐私信息的 Referrer，这样就能限制攻击者窃取用户隐私信息的能力。

举个例子，当用户从 https://www.example.com/index.html 页面跳转到 https://www.another-example.com/index.html 页面时，referrer policy: strict-origin-when-cross-origin 就会生效。在请求 https://www.another-example.com/index.html 页面的时候，只会发送 https://www.examples.com 的主机名作为 Referrer，而不会携带任何用户隐私信息。

总之，referrer policy: strict-origin-when-cross-origin 是一种非常重要的浏览器安全策略，能有效防止攻击者窃取用户隐私信息，为用户提供更加安全的网页访问体验。

### 回答3：
referrer policy: strict-origin-when-cross-origin是一个用于在浏览器中控制HTTP请求Referrer HTTP头的策略。这个策略是站在安全性的角度来考虑保障用户隐私和安全的。

当用户在浏览器中在当前域名下跳转至另一个跨域地址时，例如从abc.com跳转到xyz.com，那么通过HTTP头部信息referer会传递一些敏感信息给xyz.com，例如abc.com地址和当前浏览器页面地址等，这可能会导致用户数据泄露的问题。

通过strict-origin-when-cross-origin策略，浏览器会在必要时为请求添加referer信息，但会在请求目标是同一个站点（源）时添加，而不在请求导致跨越时添加（在这种情况下referer信息是没有帮助的）。 这种策略可以最大程度地保护用户隐私，降低数据泄露和恶意攻击的风险。

此外，strict-origin-when-cross-origin还可以在HTTP/2先进的推送功能中起到一定的作用，因为它提供了更多的安全保障，使得资源推送更加安全可靠。

总之，referrer policy: strict-origin-when-cross-origin能够减少攻击分子和敌对方获取用户信息的能力，以保证信息的安全性。这是一种安全保护机制，可以帮助用户更安全地浏览网站，同时保护敏感数据的隐私。