Mozilla ha canviat la forma en què genera la capçalera HTTP Referer a Firefox 87, que es publicarà demà. Per tal de bloquejar possibles filtracions de dades confidencials, de manera predeterminada quan es redirigeix a altres llocs, la capçalera HTTP de referència no inclourà l'URL complet de la font des de la qual s'ha fet la transició, sinó només el domini. El camí i els paràmetres de sol·licitud es retallaran. Aquells. en lloc de "Referent: https://www.example.com/path/?arguments", s'enviarà "Referer: https://www.example.com/". A partir del Firefox 59, aquesta neteja es va fer en mode de navegació privada i ara s'estendrà al mode principal.
El nou comportament ajudarà a evitar la transferència de dades d'usuari innecessàries a xarxes publicitàries i altres recursos externs. A tall d'exemple, es donen alguns llocs mèdics, en procés de mostrar publicitat en què tercers poden obtenir informació confidencial, com l'edat i el diagnòstic del pacient. Al mateix temps, l'eliminació de detalls del Referent pot afectar negativament la recopilació d'estadístiques sobre transicions per part dels propietaris del lloc, que ara no podran determinar amb precisió l'adreça de la pàgina anterior, per exemple, per entendre quin article es va fer la transició. des de. També pot interrompre el funcionament d'alguns sistemes dinàmics de generació de contingut que analitzen les claus que van conduir a la transició del motor de cerca.
Per controlar la configuració del Referer, es proporciona la capçalera Referer-Policy HTTP, amb la qual els propietaris del lloc poden anul·lar el comportament predeterminat per a les transicions del seu lloc i retornar la informació completa al Referer. Actualment, la política predeterminada és "no-referrer-when-downgrade", on el Referer no s'envia quan es baixa d'HTTPS a HTTP, sinó que s'envia en forma completa quan es descarreguen recursos mitjançant HTTPS. A partir de Firefox 87, entrarà en vigor la política "strict-origin-when-cross-origin", que significa tallar camins i paràmetres quan s'envien una sol·licitud a altres amfitrions quan s'accedeix mitjançant HTTPS, eliminant el Referer quan es canvia d'HTTPS a HTTPS. HTTP i passar el Referer complet per a les transicions internes dins d'un lloc.
El canvi s'aplicarà a les sol·licituds de navegació normals (enllaços següents), a les redireccions automàtiques i a la càrrega de recursos externs (imatges, CSS, scripts). A Chrome, el canvi predeterminat a "strict-origin-when-cross-origin" es va implementar l'estiu passat.
Font: opennet.ru
