Кампанія Mozilla змяніла метад фармавання загалоўка HTTP Referer у выпуску Firefox 87, вызначаным на заўтра. З мэтай блакавання патэнцыйных уцечак канфідэнцыйных дадзеных па змаўчанні пры пераходзе на іншыя сайты HTTP-загаловак Referer будзе ўключаць не поўны URL крыніцы, з якой ажыццёўлены пераход, а толькі дамен. Шлях і параметры запыту будуць выразацца. Г.зн. замест "Referer: https://www.example.com/шлях/?аргументы" будзе перададзены "Referer: https://www.example.com/". Пачынальна з Firefox 59 падобная чыстка выраблялася ў рэжыме прыватнага прагляду, а зараз будзе распаўсюджана і на асноўны рэжым.
Новыя паводзіны дапамогуць прадухіліць перадачу лішніх дадзеных аб карыстачу рэкламным сеткам і іншым вонкавым рэсурсам. У якасці прыкладу прыводзяцца некаторыя медыцынскія сайты, у працэсе паказу рэкламы на якіх трэція асобы могуць атрымаць звесткі канфідэнцыйнага характару, такія як узрост і пастаўлены пацыенту дыягназ. Пры гэтым выдаленне дэталяў з Referer можа негатыўна паўплываць на збор статыстыкі аб пераходах уладальнікамі сайтаў, якія зараз не змогуць сапраўды вызначыць адрас папярэдняй старонкі, напрыклад для разумення з якога менавіта артыкула быў здзейснены пераход. Таксама можа парушыцца праца некаторых сістэм дынамічнай генерацыі змесціва, якія выконваюць разбор ключоў, якія прывялі да пераходу з пошукавай сістэмы.
Для кіравання выстаўленнем Referer прадугледжаны HTTP-загаловак Referrer-Policy, пры дапамозе якога ўладальнікі сайтаў могуць перавызначыць паводзіны па змаўчанні для пераходаў са свайго сайта і вярнуць указанне ў Referer поўнай інфармацыі. У цяперашні час па змаўчанні прымяняецца палітыка "no-referrer-when-downgrade", пры якой Referer не адпраўляецца пры пераходзе з HTTPS на HTTP, але перадаецца ў поўнай форме пры загрузцы рэсурсаў па HTTPS. Пачынальна з Firefox 87 пачне дзейнічаць палітыка "strict-origin-when-cross-origin", якая разумее выразанне шляхоў і параметраў пры адпраўцы запыту на іншыя хасты пры звароце па HTTPS, выдаленне Referer пры пераходзе з HTTPS на HTTP і перадачу поўнага Referer для ўнутраных пераходаў у рамках аднаго сайта.
Змена будзе дзейнічаць для звычайных навігацыйных запытаў (пераходаў па спасылках), аўтаматычных рэдырэктаў і пры загрузцы вонкавых рэсурсаў (малюнкаў, СSS, скрыптоў). У Chrome пераход па змаўчанні на "strict-origin-when-cross-origin" быў ажыццёўлены летам мінулага года.
Крыніца: opennet.ru