Mozilla го смени начинот на кој го генерира HTTP Referer заглавието во Firefox 87, планирано да биде објавено утре. Со цел да се блокираат потенцијалните протекувања на доверливи податоци, стандардно при навигација на други сајтови, заглавието на Referer HTTP нема да ја вклучува целосната URL-адреса на изворот од кој е направена транзицијата, туку само доменот. Параметрите на патеката и барањето ќе бидат отсечени. Оние. наместо „Реферер: https://www.example.com/path/?arguments“, ќе се испрати „Упатувач: https://www.example.com/“. Почнувајќи со Firefox 59, ова чистење беше направено во режим на приватно прелистување и сега ќе биде проширено на главниот режим.
Новото однесување ќе помогне да се спречи преносот на непотребни кориснички податоци на рекламни мрежи и други надворешни ресурси. Како пример, дадени се некои медицински сајтови, во процес на прикажување реклами на кои трети лица можат да добијат доверливи информации, како што се возраста и дијагнозата на пациентот. Во исто време, отстранувањето детали од Упатувачот може негативно да влијае на собирањето статистики за транзициите од страна на сопствениците на сајтовите, кои сега нема да можат точно да ја одредат адресата на претходната страница, на пример, за да разберат во која статија е извршена транзицијата од. Исто така, може да ја наруши работата на некои системи за динамично генерирање содржина што ги анализираат клучевите што доведоа до премин од пребарувачот.
За да се контролира поставката на Referer, е обезбедено заглавието на Referrer-Policy HTTP, со кое сопствениците на сајтови можат да го отфрлат стандардното однесување за транзиции од нивната локација и да ги вратат целосните информации на Referer. Во моментов, стандардната политика е „не-реферер-кога-намалување“, каде што упатувачот не се испраќа при деградирање од HTTPS на HTTP, туку се испраќа во целосна форма кога се преземаат ресурси преку HTTPS. Почнувајќи со Firefox 87, ќе стапи на сила политиката „строго потекло-кога-вкрстено потекло“, што значи отсекување на патеките и параметрите при испраќање барање до други хостови при пристап преку HTTPS, отстранување на Referer при префрлање од HTTPS на HTTP и пренесување на целосниот реферер за внатрешни транзиции во рамките на една локација.
Промената ќе се однесува на нормални барања за навигација (следни врски), автоматски пренасочувања и при вчитување надворешни ресурси (слики, CSS, скрипти). Во Chrome, стандардното префрлување на „strict-origin-when-cross-origin“ беше имплементирано минатото лето.
Извор: opennet.ru