A Mozilla megváltoztatta a HTTP Referer fejléc generálásának módját a holnap megjelenő Firefox 87-ben. Az esetleges adatvédelmi szivárgások elkerülése érdekében más webhelyekre való navigáláskor a HTTP Referer fejléc mostantól csak a domaint fogja tartalmazni, nem a forrás webhely teljes URL-jét. Az elérési utat és a lekérdezési paramétereket eltávolítják. Ez azt jelenti, hogy a "Referer: https://www.example.com/path/?arguments" helyett a "Referer: https://www.example.com/" kerül átvitelre. A Firefox 59 óta ez a tisztítás privát böngészési módban történik, és mostantól a natív böngészési módra is kiterjesztik.
Az új viselkedés segít megakadályozni a felesleges felhasználói adatok megosztását hirdetési hálózatokkal és más külső forrásokkal. Néhány orvosi weboldalt említenek példaként, mivel harmadik felek bizalmas információkhoz juthatnak, például a beteg életkorához és diagnózisához, amikor hirdetéseket jelenítenek meg. Továbbá, a hivatkozó oldalról való részletek eltávolítása negatívan befolyásolhatja a weboldalak tulajdonosai általi kattintásfolyam-statisztikák gyűjtését, mivel a továbbiakban nem tudják pontosan meghatározni az előző oldal címét, például azt, hogy melyik cikkből látogatott meg a felhasználó. Emellett megzavarhatja néhány dinamikus tartalomgeneráló rendszer működését, amelyek elemzik a keresőmotorból a kattintásfolyamhoz vezető kulcsszavakat.
A Referrer-Policy HTTP fejléc a Referrer beállítás vezérlésére szolgál. A weboldal tulajdonosok ezzel felülbírálhatják az oldalukról történő átmenetek alapértelmezett viselkedését, és a Referrer teljes információit adhatják vissza. Jelenleg az alapértelmezett szabályzat a "no-referrer-when-downgrade", amely megakadályozza a Referrer elküldését HTTPS-ről HTTP-re való visszalépéskor, de a teljes Referrer továbbítódik HTTPS-en keresztüli erőforrások betöltésekor. A Firefox 87-től kezdődően a "strict-origin-when-cross-origin" szabályzat lesz érvényben. Ez a szabályzat eltávolítja az elérési utakat és paramétereket, amikor HTTPS-en keresztül más gazdagépeknek küldenek kéréseket, eltávolítja a Referrert HTTPS-ről HTTP-re való visszalépéskor, és továbbítja a teljes Referrert egyetlen webhelyen belüli belső átmenetekhez.
A változás a szokásos navigációs kérésekre (linkekre kattintások), az automatikus átirányításokra és a külső források (képek, CSS, szkriptek) betöltésekor fog érvényesülni. A Chrome tavaly nyáron alapértelmezés szerint átállt a „strict-origin-when-cross-origin” beállításra.
Forrás: opennet.ru
