Mozilla cambiou o xeito en que xera a cabeceira HTTP Referer en Firefox 87, cuxo lanzamento está previsto para mañá. Para evitar posibles filtracións de privacidade ao navegar por outros sitios, a cabeceira HTTP Referer agora só incluirá o dominio, non o URL completo do sitio de orixe. Eliminaranse os parámetros de ruta e consulta. Isto significa que, en lugar de "Referer: https://www.example.com/path/?arguments", transmitirase "Referer: https://www.example.com/". Desde Firefox 59, esta limpeza realizouse no modo de navegación privada e agora estenderase tamén ao modo de navegación nativa.
O novo comportamento axudará a evitar que se compartan datos innecesarios do usuario con redes publicitarias e outros recursos externos. Algúns sitios web médicos cítanse como exemplo, xa que terceiros poden obter información confidencial, como a idade e o diagnóstico dun paciente, ao mostrar anuncios. Ademais, a eliminación de detalles do Referedor podería afectar negativamente á recollida de estatísticas de clickstream por parte dos propietarios dos sitios web, xa que xa non poderán determinar con precisión o enderezo da páxina anterior, por exemplo, para determinar desde que artigo estaba a visitar o usuario. Tamén podería interromper algúns sistemas de xeración de contido dinámico que analizan as palabras clave que levaron ao clickstream desde un motor de busca.
A cabeceira HTTP Referrer-Policy úsase para controlar a configuración do Referrer. Os propietarios de sitios web poden usala para anular o comportamento predeterminado para as transicións desde o seu sitio e devolver o Referrer á información completa. Actualmente, a política predeterminada é "no-referrer-when-downgrade", que impide que se envíe o Referrer ao cambiar de HTTPS a HTTP, pero transmite o Referrer completo ao cargar recursos a través de HTTPS. A partir de Firefox 87, estará en vigor a política "strict-origin-when-cross-origin". Esta política elimina rutas e parámetros ao enviar solicitudes a outros hosts a través de HTTPS, elimina o Referrer ao cambiar de HTTPS a HTTP e transmite o Referrer completo para as transicións internas dentro dun único sitio.
O cambio aplicarase ás solicitudes de navegación habituais (clics en ligazóns), aos redireccionamentos automáticos e ao cargar recursos externos (imaxes, CSS, scripts). Chrome cambiou a "strict-origin-when-cross-origin" por defecto o verán pasado.
Fonte: opennet.ru
