Mozilla, sabah buraxılması planlaşdırılan Firefox 87-də HTTP Referer başlığını yaratma üsulunu dəyişdi. Məxfi məlumatların potensial sızmasının qarşısını almaq üçün, digər saytlara keçərkən standart olaraq, Referer HTTP başlığına keçidin edildiyi mənbənin tam URL-i deyil, yalnız domen daxil olacaq. Yol və sorğu parametrləri kəsiləcək. Bunlar. “Referer: https://www.example.com/path/?arguments” əvəzinə “Referer: https://www.example.com/” göndəriləcək. Firefox 59-dan başlayaraq, bu təmizləmə şəxsi baxış rejimində həyata keçirilib və indi əsas rejimə keçəcək.
Yeni davranış lazımsız istifadəçi məlumatlarının reklam şəbəkələrinə və digər xarici resurslara ötürülməsinin qarşısını almağa kömək edəcək. Nümunə olaraq, reklamların nümayişi zamanı üçüncü tərəflərin xəstənin yaşı və diaqnozu kimi məxfi məlumatları əldə edə biləcəyi bəzi tibbi saytlar verilmişdir. Eyni zamanda, Refererdən təfərrüatların silinməsi sayt sahibləri tərəfindən keçidlər haqqında statistik məlumatların toplanmasına mənfi təsir göstərə bilər, onlar indi əvvəlki səhifənin ünvanını dəqiq müəyyən edə bilməyəcəklər, məsələn, keçidin hansı məqalədə edildiyini başa düşə bilməyəcəklər. -dan. O, həmçinin axtarış sistemindən keçidə səbəb olan açarları təhlil edən bəzi dinamik məzmun yaratma sistemlərinin işini poza bilər.
Refererin parametrlərinə nəzarət etmək üçün Referrer-Policy HTTP başlığı təmin edilir, bununla sayt sahibləri öz saytından keçidlər üçün standart davranışı ləğv edə və tam məlumatı Refererə qaytara bilərlər. Hal-hazırda, defolt siyasət "referrer-downgrade"dir, burada Referer HTTPS-dən HTTP-yə endirərkən göndərilmir, lakin HTTPS üzərindən resursları endirərkən tam formada göndərilir. Firefox 87-dən başlayaraq, “strict-origin-when-cross-origin” siyasəti qüvvəyə minəcək ki, bu da HTTPS vasitəsilə daxil olarkən digər hostlara sorğu göndərərkən yolların və parametrlərin kəsilməsi, HTTPS-dən keçid zamanı Refererin silinməsi deməkdir. HTTP və bir sayt daxilində daxili keçidlər üçün tam Refererin ötürülməsi.
Dəyişiklik normal naviqasiya sorğularına (aşağıdakı keçidlərə), avtomatik yönləndirmələrə və xarici resursların (şəkillər, CSS, skriptlər) yüklənməsi zamanı tətbiq olunacaq. Chrome-da defolt "strict-origin-when-cross-origin" keçidi keçən ilin yayında həyata keçirilib.
Mənbə: opennet.ru