Mozilla har endret måten den genererer HTTP Referer-headeren på i Firefox 87, planlagt utgivelse i morgen. For å blokkere potensielle lekkasjer av konfidensielle data, som standard når du navigerer til andre nettsteder, vil Referer HTTP-headeren ikke inkludere hele URL-en til kilden som overgangen ble gjort fra, men bare domenet. Banen og forespørselsparameterne vil bli kuttet ut. De. i stedet for «Referer: https://www.example.com/path/?arguments», vil «Referer: https://www.example.com/» bli sendt. Fra og med Firefox 59 ble denne rengjøringen gjort i privat nettlesingsmodus, og vil nå bli utvidet til hovedmodus.
Den nye virkemåten vil bidra til å forhindre overføring av unødvendige brukerdata til annonsenettverk og andre eksterne ressurser. Som et eksempel er noen medisinske nettsteder gitt, i ferd med å vise reklame der tredjeparter kan få konfidensiell informasjon, for eksempel pasientens alder og diagnose. Samtidig kan fjerning av detaljer fra referenten ha en negativ innvirkning på innsamlingen av statistikk om overganger fra nettstedeiere, som nå ikke vil kunne nøyaktig bestemme adressen til forrige side, for eksempel for å forstå hvilken artikkel overgangen ble gjort fra. Det kan også forstyrre driften av noen dynamiske innholdsgenereringssystemer som analyserer nøklene som førte til overgangen fra søkemotoren.
For å kontrollere innstillingen av Referer, er HTTP-headeren Referrer-Policy gitt, som nettstedeiere kan overstyre standardoppførselen for overganger fra nettstedet og returnere den fullstendige informasjonen til Refereren. Foreløpig er standardpolicyen "no-referrer-when-downgrade", der refereren ikke sendes ved nedgradering fra HTTPS til HTTP, men sendes i full form ved nedlasting av ressurser over HTTPS. Fra og med Firefox 87 vil "strict-origin-when-cross-origin"-policyen tre i kraft, noe som betyr å kutte ut stier og parametere når du sender en forespørsel til andre verter når du får tilgang via HTTPS, og fjerner Referer når du bytter fra HTTPS til HTTP, og sender hele Referer for interne overganger innenfor ett nettsted.
Endringen vil gjelde for vanlige navigasjonsforespørsler (følgende lenker), automatiske omdirigeringer og ved lasting av eksterne ressurser (bilder, CSS, skript). I Chrome ble standardbryteren til «strict-origin-when-cross-origin» implementert i fjor sommer.
Kilde: opennet.ru