Mozilla je promijenila način na koji generiše HTTP Referer zaglavlje u Firefoxu 87, zakazano za sutra. Kako bi se blokiralo potencijalno curenje povjerljivih podataka, prema zadanim postavkama prilikom navigacije na druge stranice, HTTP zaglavlje Referer neće uključivati puni URL izvora iz kojeg je napravljen prijelaz, već samo domenu. Parametri putanje i zahtjeva će biti izrezani. One. umjesto “Referer: https://www.example.com/path/?arguments”, bit će poslano “Referer: https://www.example.com/”. Počevši od Firefoxa 59, ovo čišćenje je urađeno u načinu privatnog pregledavanja, a sada će biti prošireno na glavni način rada.
Novo ponašanje će spriječiti prijenos nepotrebnih korisničkih podataka na reklamne mreže i druge vanjske resurse. Kao primjer, date su neke medicinske stranice, u procesu prikazivanja reklama na kojima treće strane mogu dobiti povjerljive informacije, kao što su starost i dijagnoza pacijenta. Istovremeno, uklanjanje detalja iz Referer-a može negativno utjecati na prikupljanje statistike o prijelazima od strane vlasnika stranica, koji sada neće moći precizno odrediti adresu prethodne stranice, na primjer, da shvate u kojem članku je tranzicija napravljena. od. Takođe može poremetiti rad nekih sistema za generisanje dinamičkog sadržaja koji analiziraju ključeve koji su doveli do prelaska sa pretraživača.
Da bi se kontrolisalo podešavanje Referer-a, obezbeđeno je HTTP zaglavlje Referrer-Policy, sa kojim vlasnici sajtova mogu nadjačati podrazumevano ponašanje za prelaze sa svoje lokacije i vratiti pune informacije Refereru. Trenutno je zadana politika "no-referrer-when-downgrade", pri čemu se Referer ne šalje pri prelasku sa HTTPS na HTTP, već se šalje u punom obliku prilikom preuzimanja resursa preko HTTPS-a. Počevši od Firefoxa 87, na snagu će stupiti politika “strogo-izvor-kada-unakrsnog porijekla”, što znači izrezivanje staza i parametara prilikom slanja zahtjeva drugim hostovima kada pristupate putem HTTPS-a, uklanjanje Referer-a prilikom prelaska sa HTTPS-a na HTTP i prosljeđivanje punog Referera za interne tranzicije unutar jedne stranice.
Promjena će se primijeniti na uobičajene zahtjeve za navigaciju (slijedeći linkovi), automatska preusmjeravanja i prilikom učitavanja vanjskih resursa (slike, CSS, skripte). U Chromeu, zadani prekidač na "strict-origin-when-cross-origin" implementiran je prošlog ljeta.
izvor: opennet.ru