A Mozilla megváltoztatta a HTTP Referer fejléc előállítási módját a Firefox 87-ben, amelynek megjelenése holnapra várható. A bizalmas adatok esetleges kiszivárgásának megakadályozása érdekében alapértelmezés szerint, amikor más webhelyekre navigál, a hivatkozó HTTP-fejléc nem tartalmazza annak a forrásnak a teljes URL-címét, amelyből az áttérés történt, hanem csak a tartományt. Az elérési út és a kérés paraméterei ki lesznek vágva. Azok. a „Hivatkozó: https://www.example.com/path/?arguments” helyett „Referer: https://www.example.com/” kerül elküldésre. A Firefox 59-től kezdődően ez a tisztítás privát böngészési módban történt, és most a fő módra is kiterjesztik.
Az új viselkedés segít megelőzni a szükségtelen felhasználói adatok hirdetési hálózatokba és más külső erőforrásokba való átvitelét. Példaként adnak meg néhány orvosi oldalt a hirdetések megjelenítése során, amelyeken harmadik felek bizalmas információkat szerezhetnek be, például a beteg életkorát és diagnózisát. Ugyanakkor a részletek eltávolítása a hivatkozóból negatívan befolyásolhatja a webhelytulajdonosok átállási statisztikáinak gyűjtését, akik most nem tudják pontosan meghatározni az előző oldal címét, például nem tudják megérteni, melyik cikkben történt az átállás. tól től. Megzavarhatja egyes dinamikus tartalomgeneráló rendszerek működését is, amelyek elemzik azokat a kulcsokat, amelyek a keresőmotorról való átálláshoz vezettek.
A Hivatkozó beállításának szabályozásához rendelkezésre áll a Hivatkozó-házirend HTTP fejléc, amellyel a webhelytulajdonosok felülbírálhatják a webhelyükről való áttérés alapértelmezett viselkedését, és visszaküldhetik a teljes információt a hivatkozónak. Jelenleg az alapértelmezett házirend a "no-referrer-when-downgrade", ahol a hivatkozó nem kerül elküldésre a HTTPS-ről HTTP-re való leváltáskor, hanem teljes formában, amikor az erőforrásokat HTTPS-en keresztül tölti le. A Firefox 87-től kezdődően életbe lép a „szigorú eredet-ha-keresztezés” házirend, ami azt jelenti, hogy HTTPS-en keresztüli hozzáférés esetén le kell vágni az útvonalakat és a paramétereket, amikor kérést küldenek más gazdagépeknek, és eltávolítják a Hivatkozót, amikor HTTPS-ről váltunk át. HTTP, és a teljes hivatkozó átadása egy webhelyen belüli belső átmenetekhez.
A változás a normál navigációs kérésekre (linkek követése), az automatikus átirányításokra, valamint a külső erőforrások (képek, CSS, szkriptek) betöltésére vonatkozik. A Chrome-ban az alapértelmezett váltás a „szigorú származású, amikor a keresztezési eredet” módra tavaly nyáron került bevezetésre.
Forrás: opennet.ru