Mozilla hat die Art und Weise geändert, wie es den HTTP-Referer-Header in Firefox 87 generiert, dessen Veröffentlichung für morgen geplant ist. Um potenzielle Lecks vertraulicher Daten zu verhindern, enthält der Referrer-HTTP-Header beim Navigieren zu anderen Websites standardmäßig nicht die vollständige URL der Quelle, von der aus der Übergang durchgeführt wurde, sondern nur die Domäne. Die Pfad- und Anforderungsparameter werden ausgeschnitten. Diese. Anstelle von „Referer: https://www.example.com/path/?arguments“ wird „Referer: https://www.example.com/“ gesendet. Ab Firefox 59 wurde diese Bereinigung im privaten Browsermodus durchgeführt und wird nun auf den Hauptmodus ausgeweitet.
Das neue Verhalten wird dazu beitragen, die Übertragung unnötiger Benutzerdaten an Werbenetzwerke und andere externe Ressourcen zu verhindern. Als Beispiel werden einige medizinische Websites genannt, auf denen Werbung angezeigt wird, auf der Dritte vertrauliche Informationen wie das Alter und die Diagnose des Patienten erhalten können. Gleichzeitig kann sich das Entfernen von Details aus dem Referrer negativ auf die Sammlung von Statistiken über Übergänge durch Websitebesitzer auswirken, die nun nicht mehr in der Lage sind, die Adresse der vorherigen Seite genau zu bestimmen, um beispielsweise zu verstehen, bei welchem Artikel der Übergang vorgenommen wurde aus. Es kann auch den Betrieb einiger Systeme zur dynamischen Inhaltsgenerierung stören, die die Schlüssel analysieren, die zum Übergang von der Suchmaschine geführt haben.
Um die Einstellung von Referrer zu steuern, wird der HTTP-Header Referrer-Policy bereitgestellt, mit dem Websitebesitzer das Standardverhalten für Übergänge von ihrer Site überschreiben und die vollständigen Informationen an den Referer zurückgeben können. Derzeit lautet die Standardrichtlinie „no-referrer-when-downgrade“, wobei der Referrer beim Downgrade von HTTPS auf HTTP nicht gesendet wird, beim Herunterladen von Ressourcen über HTTPS jedoch in vollständiger Form. Ab Firefox 87 tritt die „Strict-Origin-When-Cross-Origin“-Richtlinie in Kraft. Dies bedeutet, dass beim Senden einer Anfrage an andere Hosts beim Zugriff über HTTPS Pfade und Parameter weggelassen und beim Wechsel von HTTPS auf den Referrer entfernt werden HTTP und Übergabe des vollständigen Referrers für interne Übergänge innerhalb einer Site.
Die Änderung gilt für normale Navigationsanfragen (Folgen von Links), automatische Weiterleitungen und beim Laden externer Ressourcen (Bilder, CSS, Skripte). In Chrome wurde letzten Sommer die Standardumstellung auf „strict-origin-when-cross-origin“ implementiert.
Source: opennet.ru