Mozilla は、明日リリース予定の Firefox 87 で HTTP Referer ヘッダーの生成方法を変更しました。 機密データの漏洩の可能性をブロックするために、他のサイトに移動するときのデフォルトでは、リファラー HTTP ヘッダーには、移行元のソースの完全な URL は含まれず、ドメインのみが含まれます。 パスとリクエストパラメータは切り取られます。 それらの。 「Referer: https://www.example.com/path/?arguments」の代わりに「Referer: https://www.example.com/」が送信されます。 Firefox 59 以降、このクリーニングはプライベート ブラウズ モードで実行されていましたが、今後はメイン モードにも拡張されます。
新しい動作は、不必要なユーザー データが広告ネットワークやその他の外部リソースに転送されるのを防ぐのに役立ちます。 例として、いくつかの医療サイトが挙げられますが、広告を表示する過程で、第三者が患者の年齢や診断名などの機密情報を入手できる可能性があります。 同時に、リファラーから詳細を削除すると、サイト所有者による遷移に関する統計の収集に悪影響を及ぼす可能性があります。サイト所有者は、前のページのアドレスを正確に判断できなくなり、たとえば、どの記事への遷移が行われたのかを理解できなくなります。から。 また、検索エンジンからの移行につながったキーを解析する一部の動的コンテンツ生成システムの動作が中断される可能性があります。
Referer の設定を制御するために、Referrer-Policy HTTP ヘッダーが提供されます。これを使用すると、サイト所有者はサイトからの遷移のデフォルト動作をオーバーライドして、完全な情報を Referer に返すことができます。 現在、デフォルトのポリシーは「no-referrer-when-downgrade」で、HTTPS から HTTP にダウングレードするときにリファラーは送信されませんが、HTTPS 経由でリソースをダウンロードするときに完全な形式で送信されます。 Firefox 87 以降、「strict-origin-when-cross-origin」ポリシーが有効になります。これは、HTTPS 経由でアクセスするときに他のホストにリクエストを送信するときにパスとパラメーターを削除し、HTTPS から HTTPS に切り替えるときにリファラーを削除することを意味します。 HTTP、および XNUMX つのサイト内の内部遷移用の完全なリファラーを渡します。
この変更は、通常のナビゲーション リクエスト (リンクをたどる)、自動リダイレクト、および外部リソース (画像、CSS、スクリプト) を読み込むときに適用されます。 Chrome では、「strict-origin-when-cross-origin」へのデフォルトの切り替えが昨年夏に実装されました。
出所: オープンネット.ru