Mozilla heeft de manier veranderd waarop het de HTTP Referer-header genereert in Firefox 87, dat morgen wordt uitgebracht. Om potentiële lekken van vertrouwelijke gegevens te blokkeren, zal de Referer HTTP-header bij het navigeren naar andere sites standaard niet de volledige URL bevatten van de bron van waaruit de transitie is gemaakt, maar alleen het domein. Het pad en de aanvraagparameters worden verwijderd. Die. in plaats van 'Verwijzer: https://www.example.com/path/?arguments' wordt 'Verwijzer: https://www.example.com/' verzonden. Vanaf Firefox 59 werd deze opschoning uitgevoerd in de privé-browsingmodus en wordt nu uitgebreid naar de hoofdmodus.
Het nieuwe gedrag zal de overdracht van onnodige gebruikersgegevens naar advertentienetwerken en andere externe bronnen helpen voorkomen. Als voorbeeld worden enkele medische sites gegeven, waarin advertenties worden weergegeven waarop derden vertrouwelijke informatie kunnen verkrijgen, zoals de leeftijd en de diagnose van de patiënt. Tegelijkertijd kan het verwijderen van details uit de Verwijzer een negatieve invloed hebben op het verzamelen van statistieken over transities door site-eigenaren, die nu niet meer in staat zullen zijn om het adres van de vorige pagina nauwkeurig te bepalen, bijvoorbeeld om te begrijpen welk artikel de transitie heeft plaatsgevonden. van. Het kan ook de werking verstoren van sommige dynamische systemen voor het genereren van inhoud die de sleutels ontleden die hebben geleid tot de overstap van de zoekmachine.
Om de instelling van Referer te controleren, is de Referrer-Policy HTTP-header voorzien, waarmee site-eigenaren het standaardgedrag voor overgangen van hun site kunnen overschrijven en de volledige informatie aan de Referer kunnen retourneren. Momenteel is het standaardbeleid 'no-referrer-when-downgrade', waarbij de referer niet wordt verzonden bij het downgraden van HTTPS naar HTTP, maar in volledige vorm wordt verzonden bij het downloaden van bronnen via HTTPS. Vanaf Firefox 87 zal het ‘strict-origin-when-cross-origin’-beleid van kracht worden, wat betekent dat paden en parameters worden verwijderd bij het verzenden van een verzoek naar andere hosts bij toegang via HTTPS, en dat de verwijzende verwijzing wordt verwijderd bij het overschakelen van HTTPS naar HTTP en het doorgeven van de volledige referer voor interne transities binnen één site.
De wijziging is van toepassing op normale navigatieverzoeken (het volgen van links), automatische omleidingen en bij het laden van externe bronnen (afbeeldingen, CSS, scripts). In Chrome werd afgelopen zomer de standaard overstap naar ‘strikte-origin-when-cross-origin’ geïmplementeerd.
Bron: opennet.ru