Mozilla ha cambiado la forma en que genera el encabezado HTTP Referer en Firefox 87, cuyo lanzamiento está previsto para mañana. Para bloquear posibles filtraciones de datos confidenciales, de forma predeterminada al navegar a otros sitios, el encabezado HTTP Referer no incluirá la URL completa de la fuente desde la que se realizó la transición, sino solo el dominio. Se eliminarán la ruta y los parámetros de solicitud. Aquellos. en lugar de "Referente: https://www.example.com/path/?arguments", se enviará "Referente: https://www.example.com/". A partir de Firefox 59, esta limpieza se hacía en modo de navegación privada, y ahora se extenderá al modo principal.
El nuevo comportamiento ayudará a evitar la transferencia de datos innecesarios del usuario a redes publicitarias y otros recursos externos. Como ejemplo se citan algunos sitios médicos, en el proceso de mostrar publicidad en los que terceros pueden obtener información confidencial, como la edad y el diagnóstico del paciente. Al mismo tiempo, eliminar detalles del Referer puede afectar negativamente la recopilación de estadísticas sobre las transiciones por parte de los propietarios del sitio, quienes ahora no podrán determinar con precisión la dirección de la página anterior, por ejemplo, comprender en qué artículo se realizó la transición. de. También puede alterar el funcionamiento de algunos sistemas dinámicos de generación de contenidos que analizan las claves que condujeron a la transición desde el motor de búsqueda.
Para controlar la configuración de Referer, se proporciona el encabezado HTTP Referrer-Policy, con el cual los propietarios del sitio pueden anular el comportamiento predeterminado para las transiciones desde su sitio y devolver la información completa al Referer. Actualmente, la política predeterminada es "no-referrer-when-downgrade", donde el Referer no se envía cuando se degrada de HTTPS a HTTP, pero se envía en formato completo cuando se descargan recursos a través de HTTPS. A partir de Firefox 87, entrará en vigor la política de “origen estricto cuando hay origen cruzado”, lo que significa eliminar rutas y parámetros al enviar una solicitud a otros hosts cuando se accede a través de HTTPS, eliminar el Referer al cambiar de HTTPS a HTTP y pasando el Referer completo para transiciones internas dentro de un sitio.
El cambio se aplicará a las solicitudes de navegación normales (siguiendo enlaces), redireccionamientos automáticos y al cargar recursos externos (imágenes, CSS, scripts). En Chrome, el verano pasado se implementó el cambio predeterminado a "origen-estricto-cuando-origen-cruzado".
Fuente: opennet.ru