Mozilla a modifié la façon dont il génère l'en-tête HTTP Referer dans Firefox 87, dont la sortie est prévue demain. Afin de bloquer d'éventuelles fuites de données confidentielles, par défaut lors de la navigation vers d'autres sites, l'en-tête HTTP Referer n'inclura pas l'URL complète de la source à partir de laquelle la transition a été effectuée, mais uniquement le domaine. Les paramètres de chemin et de requête seront supprimés. Ceux. au lieu de « Référent : https://www.example.com/path/?arguments », « Référent : https://www.example.com/ » sera envoyé. À partir de Firefox 59, ce nettoyage était effectué en mode navigation privée, et sera désormais étendu au mode principal.
Le nouveau comportement contribuera à empêcher le transfert de données utilisateur inutiles vers des réseaux publicitaires et d'autres ressources externes. A titre d’exemple, on cite certains sites médicaux, en train d’afficher des publicités sur lesquelles des tiers peuvent obtenir des informations confidentielles, comme l’âge et le diagnostic du patient. Dans le même temps, la suppression des détails du référent peut affecter négativement la collecte de statistiques sur les transitions par les propriétaires de sites, qui ne seront désormais plus en mesure de déterminer avec précision l'adresse de la page précédente, par exemple, pour comprendre quel article la transition a été effectuée. depuis. Cela peut également perturber le fonctionnement de certains systèmes de génération de contenu dynamique qui analysent les clés ayant conduit à la transition depuis le moteur de recherche.
Pour contrôler le paramètre du Referer, l'en-tête HTTP Referrer-Policy est fourni, avec lequel les propriétaires de sites peuvent remplacer le comportement par défaut pour les transitions depuis leur site et renvoyer toutes les informations au Referer. Actuellement, la politique par défaut est « no-referrer-when-downgrade », où le référent n'est pas envoyé lors du passage de HTTPS à HTTP, mais est envoyé sous sa forme complète lors du téléchargement de ressources via HTTPS. À partir de Firefox 87, la politique « d'origine stricte lorsque l'origine croisée » entrera en vigueur, ce qui signifie supprimer les chemins et les paramètres lors de l'envoi d'une requête à d'autres hôtes lors d'un accès via HTTPS, supprimer le référent lors du passage de HTTPS à HTTP et en transmettant le référent complet pour les transitions internes au sein d'un site.
Le changement s'appliquera aux requêtes de navigation normales (liens suivants), aux redirections automatiques et au chargement de ressources externes (images, CSS, scripts). Dans Chrome, le passage par défaut à « strict-origin-when-cross-origin » a été implémenté l'été dernier.
Source: opennet.ru