Mozilla změnila způsob generování záhlaví HTTP Referer ve Firefoxu 87, jehož vydání je naplánováno na zítra. Aby se zamezilo potenciálním únikům důvěrných dat, ve výchozím nastavení při navigaci na jiné stránky nebude hlavička Referer HTTP obsahovat úplnou adresu URL zdroje, ze kterého byl přechod proveden, ale pouze doménu. Cesta a parametry požadavku budou vyříznuty. Tito. místo „Referer: https://www.example.com/path/?arguments“ bude odesláno „Referer: https://www.example.com/“. Počínaje Firefoxem 59 bylo toto čištění prováděno v režimu soukromého prohlížení a nyní bude rozšířeno na hlavní režim.
Nové chování pomůže zabránit přenosu zbytečných uživatelských dat do reklamních sítí a dalších externích zdrojů. Jako příklad jsou uvedeny některé lékařské stránky v procesu zobrazování reklam, na kterých mohou třetí strany získat důvěrné informace, jako je věk a diagnóza pacienta. Odstranění podrobností z Refereru může zároveň negativně ovlivnit shromažďování statistik o přechodech vlastníky stránek, kteří nyní nebudou schopni přesně určit adresu předchozí stránky, například aby pochopili, ve kterém článku byl přechod proveden. z. Může také narušit činnost některých systémů pro generování dynamického obsahu, které analyzují klíče, které vedly k přechodu z vyhledávače.
Pro ovládání nastavení Referer je k dispozici hlavička Referrer-Policy HTTP, pomocí které mohou vlastníci webu přepsat výchozí chování pro přechody z jejich webu a vrátit refererovi úplné informace. Aktuálně je výchozí zásada „no-referrer-when-downgrade“, kdy se Referer neodesílá při přechodu z HTTPS na HTTP, ale je odesílán v plné formě při stahování zdrojů přes HTTPS. Počínaje Firefoxem 87 vstoupí v platnost zásada „strict-origin-when-cross-origin“, což znamená oříznutí cest a parametrů při odesílání požadavku jiným hostitelům při přístupu přes HTTPS, odebrání referera při přechodu z HTTPS na HTTP a předání úplného refereru pro interní přechody v rámci jednoho webu.
Změna se bude týkat běžných požadavků na navigaci (následující odkazy), automatických přesměrování a při načítání externích zdrojů (obrázky, CSS, skripty). V prohlížeči Chrome byl loni v létě implementován výchozí přepínač na „strict-origin-when-cross-origin“.
Zdroj: opennet.ru