Mozilla je promijenila način na koji generira zaglavlje HTTP Referer u Firefoxu 87, čije je izdanje planirano za sutra. Kako bi se spriječilo potencijalno curenje povjerljivih podataka, prema zadanim postavkama, prilikom navigacije na druge stranice, HTTP zaglavlje preporuke neće uključivati puni URL izvora iz kojeg je prijelaz napravljen, već samo domenu. Put i parametri zahtjeva bit će izrezani. Oni. umjesto “Referer: https://www.example.com/path/?arguments”, poslat će se “Referer: https://www.example.com/”. Počevši od Firefoxa 59, ovo se čišćenje radilo u privatnom načinu pregledavanja, a sada će se proširiti na glavni način.
Novo ponašanje pomoći će u sprječavanju prijenosa nepotrebnih korisničkih podataka na oglašivačke mreže i druge vanjske resurse. Kao primjer navode se neke medicinske stranice, u procesu prikazivanja reklama na kojima treće osobe mogu dobiti povjerljive podatke, poput dobi i dijagnoze pacijenta. U isto vrijeme, uklanjanje pojedinosti iz Referera može negativno utjecati na prikupljanje statistike o prijelazima od strane vlasnika web stranica, koji sada neće moći točno odrediti adresu prethodne stranice, na primjer, kako bi razumjeli koji je članak prijelaz napravljen iz. Također može poremetiti rad nekih sustava za dinamičko generiranje sadržaja koji analiziraju ključeve koji su doveli do prijelaza s tražilice.
Za kontrolu postavke Referer-a, dostupno je HTTP zaglavlje Referrer-Policy, s kojim vlasnici web-mjesta mogu nadjačati zadano ponašanje za prijelaze sa svoje stranice i vratiti punu informaciju Referer-u. Trenutačno je zadano pravilo "no-referrer-when-downgrade", pri čemu se Referer ne šalje prilikom prelaska s HTTPS-a na HTTP, ali se šalje u punom obliku prilikom preuzimanja resursa putem HTTPS-a. Počevši od Firefoxa 87, pravilo "strict-origin-when-cross-origin" stupit će na snagu, što znači izrezivanje staza i parametara prilikom slanja zahtjeva drugim hostovima prilikom pristupa putem HTTPS-a, uklanjanje Referera pri prelasku s HTTPS-a na HTTP i prosljeđivanje punog referera za interne prijelaze unutar jedne stranice.
Promjena će se primijeniti na uobičajene zahtjeve za navigaciju (praćenje veza), automatska preusmjeravanja i prilikom učitavanja vanjskih resursa (slike, CSS, skripte). U Chromeu je prošlog ljeta implementiran zadani prekidač na "strict-origin-when-cross-origin".
Izvor: opennet.ru