Firefox 87은 HTTP Referer 헤더의 내용을 잘라냅니다.

Mozilla는 내일 출시 예정인 Firefox 87에서 HTTP Referer 헤더를 생성하는 방식을 변경했습니다. 기밀 데이터의 잠재적인 유출을 차단하기 위해 기본적으로 다른 사이트로 이동할 때 Referer HTTP 헤더에는 전환이 이루어진 소스의 전체 URL이 포함되지 않고 도메인만 포함됩니다. 경로 및 요청 매개변수가 잘립니다. 저것들. "Referer: https://www.example.com/path/?arguments" 대신 "Referer: https://www.example.com/"이 전송됩니다. Firefox 59부터 이 정리 작업은 비공개 브라우징 모드에서 수행되었으며 이제 기본 모드로 확장됩니다.

새로운 동작은 불필요한 사용자 데이터가 광고 네트워크 및 기타 외부 리소스로 전송되는 것을 방지하는 데 도움이 됩니다. 예를 들어, 일부 의료 사이트에서는 제XNUMX자가 환자의 나이, 진단명 등의 기밀 정보를 얻을 수 있는 광고를 게재하는 과정이 있습니다. 동시에 추천자에서 세부 정보를 제거하면 사이트 소유자의 전환에 대한 통계 수집에 부정적인 영향을 미칠 수 있습니다. 예를 들어 어떤 기사가 전환되었는지 이해하기 위해 이전 페이지의 주소를 정확하게 확인할 수 없게 됩니다. 에서. 또한 검색 엔진에서 전환하게 된 키를 구문 분석하는 일부 동적 콘텐츠 생성 시스템의 작동을 방해할 수도 있습니다.

Referer 설정을 제어하기 위해 사이트 소유자가 사이트 전환에 대한 기본 동작을 무시하고 전체 정보를 Referer에 반환할 수 있는 Referrer-Policy HTTP 헤더가 제공됩니다. 현재 기본 정책은 "no-referrer-when-downgrade"입니다. 여기서 HTTPS에서 HTTP로 다운그레이드할 때는 리퍼러가 전송되지 않지만 HTTPS를 통해 리소스를 다운로드할 때는 전체 형식으로 전송됩니다. Firefox 87부터 "strict-origin-when-cross-origin" 정책이 적용됩니다. 이는 HTTPS를 통해 액세스할 때 다른 호스트에 요청을 보낼 때 경로와 매개변수를 잘라내고, HTTPS에서 다른 호스트로 전환할 때 참조자를 제거하는 것을 의미합니다. HTTP 및 한 사이트 내에서 내부 전환을 위해 전체 리퍼러를 전달합니다.

변경 사항은 일반 탐색 요청(링크 클릭), 자동 리디렉션 및 외부 리소스(이미지, CSS, 스크립트) 로드 시 적용됩니다. Chrome에서는 지난 여름에 "strict-origin-when-cross-origin"으로의 기본 전환이 구현되었습니다.

출처 : opennet.ru