Mozilla har ændret den måde, den genererer HTTP Referer-headeren på i Firefox 87, som er planlagt til udgivelse i morgen. For at blokere potentielle læk af fortrolige data, vil Referer HTTP-headeren som standard, når du navigerer til andre websteder, ikke inkludere den fulde URL for den kilde, hvorfra overgangen blev foretaget, men kun domænet. Sti- og anmodningsparametrene vil blive skåret ud. De der. i stedet for "Referer: https://www.example.com/path/?arguments", vil "Referer: https://www.example.com/" blive sendt. Fra Firefox 59 blev denne rensning udført i privat browsing-tilstand og vil nu blive udvidet til hovedtilstand.
Den nye adfærd vil hjælpe med at forhindre overførsel af unødvendige brugerdata til reklamenetværk og andre eksterne ressourcer. Som et eksempel er nogle medicinske websteder givet, i færd med at vise annoncer, hvor tredjeparter kan få fortrolige oplysninger, såsom patientens alder og diagnose. Samtidig kan fjernelse af detaljer fra Refereren negativt påvirke indsamlingen af statistik om overgange af webstedsejere, som nu ikke vil være i stand til nøjagtigt at bestemme adressen på den forrige side, for eksempel for at forstå, hvilken artikel overgangen blev foretaget fra. Det kan også forstyrre driften af nogle dynamiske indholdsgenereringssystemer, der analyserer de nøgler, der førte til overgangen fra søgemaskinen.
For at kontrollere indstillingen af Referer leveres HTTP-headeren Referrer-Policy, som webstedsejere kan tilsidesætte standardadfærden for overgange fra deres websted og returnere alle oplysninger til Refereren. I øjeblikket er standardpolitikken "no-referrer-when-downgrade", hvor Refereren ikke sendes ved nedgradering fra HTTPS til HTTP, men sendes i fuld form ved download af ressourcer over HTTPS. Fra Firefox 87 træder politikken "strict-origin-when-cross-origin" i kraft, hvilket betyder, at stier og parametre udskæres, når der sendes en anmodning til andre værter, når der tilgås via HTTPS, og Refereren fjernes, når der skiftes fra HTTPS til HTTP og videregivelse af den fulde Referer for interne overgange inden for ét websted.
Ændringen vil gælde for normale navigationsanmodninger (følgende links), automatiske omdirigeringer og ved indlæsning af eksterne ressourcer (billeder, CSS, scripts). I Chrome blev standardskiftet til "strict-origin-when-cross-origin" implementeret sidste sommer.
Kilde: opennet.ru