Mozilla-ն փոխել է Firefox 87-ում HTTP Referer վերնագրի ստեղծման եղանակը, որը նախատեսվում է թողարկել վաղը: Գաղտնի տվյալների հնարավոր արտահոսքերը արգելափակելու համար, լռելյայնորեն, այլ կայքեր նավարկելու ժամանակ, Referer HTTP վերնագիրը չի ներառի աղբյուրի ամբողջական URL-ը, որտեղից կատարվել է անցումը, այլ միայն տիրույթը: Ճանապարհի և հարցման պարամետրերը կկտրվեն: Նրանք. «Referer: https://www.example.com/path/?arguments»-ի փոխարեն կուղարկվի «Referer: https://www.example.com/»: Սկսած Firefox 59-ից՝ այս մաքրումն իրականացվել է մասնավոր զննարկման ռեժիմում և այժմ կտեղափոխվի հիմնական ռեժիմ:
Նոր վարքագիծը կօգնի կանխել օգտվողների անհարկի տվյալների փոխանցումը գովազդային ցանցեր և այլ արտաքին ռեսուրսներ։ Որպես օրինակ՝ բերված են որոշ բժշկական կայքեր՝ գովազդի ցուցադրման գործընթացում, որոնց վրա երրորդ կողմերը կարող են ստանալ գաղտնի տեղեկատվություն, օրինակ՝ հիվանդի տարիքը և ախտորոշումը: Միևնույն ժամանակ, Referer-ից մանրամասների հեռացումը կարող է բացասաբար ազդել կայքի սեփականատերերի կողմից անցումների մասին վիճակագրության հավաքագրման վրա, որոնք այժմ չեն կարողանա ճշգրիտ որոշել նախորդ էջի հասցեն, օրինակ՝ հասկանալու, թե որ հոդվածում է կատարվել անցումը։ -ից: Այն կարող է նաև խաթարել որոշ դինամիկ բովանդակության ստեղծման համակարգերի աշխատանքը, որոնք վերլուծում են այն բանալիները, որոնք հանգեցրել են որոնման համակարգից անցմանը:
Referer-ի կարգավորումը վերահսկելու համար տրամադրվում է Referrer-Policy HTTP վերնագիրը, որով կայքի սեփականատերերը կարող են անտեսել լռելյայն վարքագիծը իրենց կայքից անցումների համար և վերադարձնել ամբողջական տեղեկատվությունը Referer-ին: Ներկայումս լռելյայն քաղաքականությունն է «no-referrer-when-downgrade», որտեղ Referer-ը չի ուղարկվում HTTPS-ից HTTP-ի իջեցման ժամանակ, այլ ուղարկվում է ամբողջական ձևով՝ HTTPS-ով ռեսուրսներ ներբեռնելիս: Firefox 87-ից սկսած՝ ուժի մեջ կմտնի «strict-origin-when-cross-origin» քաղաքականությունը, ինչը նշանակում է HTTPS-ով մուտք գործելու ժամանակ այլ հոսթներին հարցում ուղարկելիս ուղիներն ու պարամետրերը կտրել, HTTPS-ից անցնելիս Referer-ը հեռացնել: HTTP, և մեկ կայքի ներսում ներքին անցումների համար ամբողջական Referer-ի փոխանցում:
Փոփոխությունը կվերաբերի սովորական նավիգացիոն հարցումներին (հետևյալ հղումներին), ավտոմատ վերահղումներին և արտաքին ռեսուրսները (պատկերներ, CSS, սկրիպտներ) բեռնելիս: Chrome-ում լռելյայն անցումը «strict-origin-when-cross-origin»-ին իրականացվել է անցյալ ամառ:
Source: opennet.ru