更新
2018.3.12
2018.2.12 更新中提到的修改已被提前至 4.9.5 版本,即将随新版发布。
2018.2.12
我昨天在处理该问题时在 WordPress 的网站提交了一个 Ticket #43285 ,之后给到的回复是会在之后的版本中考虑将默认的 Referrer Policy 改为 strict-origin-when-cross-origin 。现在该修改已在 5.0 版本的待审核队列中。
概述
在更新到2017年11月16日发布的 WordPress 4.9 后,如果你使用了第三方图床(或是基于云储存的外置图片库)并开启了防盗链, 那么当你在后台媒体库查看图片或在编辑器中编辑文章时将无法成功预览图片。使用浏览器调试功能发现对图片的请求返回了 403 ,对图片的正常访问被防盗链用的 Referer 白名单阻拦在外了。
原因
通过查看浏览器发出的 HTTP 请求,可以发现,文章中的访问的 Referrer Policy 是浏览器默认的 no-referrer-when-downgrade ,而管理员面板中的请求则以 same-origin 发出。故使用外部图库时,由于对图片的访问属于跨域操作,请求并未附带 referrer 信息,当图库的防盗链设置为不允许 referrer 为空时就会发生拒绝访问,图片无法显示的情况。
通过检索 WordPress 的源代码,可以发现该情况是 4.9 版本后新加入的 wp_admin_headers() 方法造成的。该方法当前(WordPress 4.9.4 中)位于 wp-admin/includes/misc.php 文件的第 1148 行,内容如下:
/**
* Send a referrer policy header so refe