Mozilla промени начина, по който генерира заглавката на HTTP Referer във Firefox 87, планирано да бъде пуснато утре. За да се блокират потенциални течове на поверителни данни, по подразбиране при навигация към други сайтове HTTP заглавката на Referer няма да включва пълния URL адрес на източника, от който е направен преходът, а само домейна. Пътят и параметрите на заявката ще бъдат изрязани. Тези. вместо „Referer: https://www.example.com/path/?arguments“, ще бъде изпратено „Referer: https://www.example.com/“. Започвайки с Firefox 59, това почистване беше извършено в режим на частно сърфиране и сега ще бъде разширено до основния режим.
Новото поведение ще помогне да се предотврати прехвърлянето на ненужни потребителски данни към рекламни мрежи и други външни ресурси. Като пример са дадени някои медицински сайтове, в процеса на показване на реклами, на които трети лица могат да получат поверителна информация, като възраст на пациента и диагноза. В същото време премахването на подробности от Referer може да повлияе негативно на събирането на статистически данни за преходите от собствениците на сайтове, които сега няма да могат да определят точно адреса на предишната страница, например, за да разберат към коя статия е направен преходът от. Може също така да наруши работата на някои системи за генериране на динамично съдържание, които анализират ключовете, довели до прехода от търсачката.
За да контролирате настройката на Referer, е предоставен HTTP хедър Referrer-Policy, с който собствениците на сайтове могат да заменят поведението по подразбиране за преходи от техния сайт и да върнат пълната информация на Referer. В момента правилото по подразбиране е „no-referrer-when-downgrade“, където Referrer не се изпраща при понижаване от HTTPS към HTTP, но се изпраща в пълна форма при изтегляне на ресурси през HTTPS. Започвайки с Firefox 87, ще влезе в сила правилото „strict-origin-when-cross-origin“, което означава изрязване на пътища и параметри при изпращане на заявка към други хостове при достъп чрез HTTPS, премахване на Referer при превключване от HTTPS към HTTP и предаване на пълния Referer за вътрешни преходи в рамките на един сайт.
Промяната ще се прилага за нормални заявки за навигация (следване на връзки), автоматични пренасочвания и при зареждане на външни ресурси (изображения, CSS, скриптове). В Chrome превключването по подразбиране към „строг произход при кръстосано начало“ беше внедрено миналото лято.
Източник: opennet.ru