Mozilla cambiou a forma en que xera a cabeceira HTTP Referer en Firefox 87, que se publicará mañá. Para bloquear posibles fugas de datos confidenciais, de forma predeterminada cando se navega a outros sitios, a cabeceira HTTP de referencia non incluirá o URL completo da fonte desde a que se fixo a transición, senón só o dominio. O camiño e os parámetros de solicitude cortaranse. Eses. en lugar de "Referer: https://www.example.com/path/?arguments", enviarase "Referer: https://www.example.com/". A partir de Firefox 59, esta limpeza realizouse en modo de navegación privada e agora estenderase ao modo principal.
O novo comportamento axudará a evitar a transferencia de datos de usuarios innecesarios a redes de publicidade e outros recursos externos. A modo de exemplo, danse algúns sitios médicos, en proceso de exhibición de publicidade nos que terceiros poden obter información confidencial, como a idade e o diagnóstico do paciente. Ao mesmo tempo, a eliminación de detalles do Referer pode afectar negativamente á recollida de estatísticas sobre as transicións por parte dos propietarios do sitio, que agora non poderán determinar con precisión o enderezo da páxina anterior, por exemplo, para entender en que artigo se realizou a transición. dende. Tamén pode perturbar o funcionamento dalgúns sistemas de xeración de contido dinámico que analizan as claves que levaron á transición do motor de busca.
Para controlar a configuración do Referer, ofrécese a cabeceira HTTP Referer-Policy, coa que os propietarios do sitio poden anular o comportamento predeterminado para as transicións do seu sitio e devolver a información completa ao Referer. Actualmente, a política predeterminada é "no-referrer-when-downgrade", onde o Referer non se envía ao baixar de HTTPS a HTTP, senón que se envía de forma completa ao descargar recursos a través de HTTPS. A partir de Firefox 87, entrará en vigor a política de "orixe estrita-cuando-orixe cruzada", o que significa cortar camiños e parámetros cando se envía unha solicitude a outros servidores ao acceder a través de HTTPS, eliminando o Referer ao cambiar de HTTPS a HTTPS. HTTP e pasando o Referer completo para as transicións internas dentro dun sitio.
O cambio aplicarase ás solicitudes de navegación normais (seguindo ligazóns), aos redireccionamentos automáticos e ao cargar recursos externos (imaxes, CSS, scripts). En Chrome, o cambio predeterminado a "strict-origin-when-cross-origin" implementouse o verán pasado.
Fonte: opennet.ru