Mozilla zmieniła sposób generowania nagłówka HTTP Referer w przeglądarce Firefox 87, której premiera zaplanowana jest na jutro. Aby zapobiec potencjalnym wyciekom poufnych danych, domyślnie podczas nawigowania do innych stron, nagłówek HTTP Referer nie będzie zawierał pełnego adresu URL źródła, z którego nastąpiło przejście, a jedynie domenę. Parametry ścieżki i żądania zostaną wycięte. Te. zamiast „Referer: https://www.example.com/path/?arguments” zostanie wysłane „Referer: https://www.example.com/”. Począwszy od przeglądarki Firefox 59, czyszczenie to odbywało się w trybie przeglądania prywatnego i teraz zostanie rozszerzone do trybu głównego.
Nowe zachowanie pomoże zapobiec przesyłaniu zbędnych danych użytkowników do sieci reklamowych i innych zasobów zewnętrznych. Jako przykład podano niektóre strony medyczne, w trakcie wyświetlania reklam, na których osoby trzecie mogą uzyskać poufne informacje, takie jak wiek pacjenta i diagnoza. Jednocześnie usunięcie szczegółów z Referera może negatywnie wpłynąć na zbieranie statystyk dotyczących przejść przez właścicieli witryn, którzy nie będą teraz w stanie dokładnie określić adresu poprzedniej strony, np. aby zrozumieć, w którym artykule dokonano przejścia z. Może również zakłócić działanie niektórych systemów dynamicznego generowania treści, które analizują klucze, które doprowadziły do przejścia z wyszukiwarki.
Aby kontrolować ustawienia strony odsyłającej, dostępny jest nagłówek HTTP Referrer-Policy, za pomocą którego właściciele witryn mogą zastąpić domyślne zachowanie przy przejściach ze swojej witryny i zwrócić pełne informacje stronie odsyłającej. Obecnie domyślną zasadą jest „no-referrer-When-downgrade”, w przypadku której strona odsyłająca nie jest wysyłana w przypadku zmiany wersji z HTTPS na HTTP, ale jest wysyłana w pełnej formie podczas pobierania zasobów przez HTTPS. Począwszy od przeglądarki Firefox 87, zacznie obowiązywać zasada „strict-origin-when-cross-origin”, co oznacza wycinanie ścieżek i parametrów podczas wysyłania żądania do innych hostów podczas uzyskiwania dostępu przez HTTPS, usuwanie strony odsyłającej podczas przełączania z HTTPS na HTTP i przekazanie pełnego elementu odsyłającego do wewnętrznych przejść w obrębie jednej witryny.
Zmiana będzie dotyczyć zwykłych żądań nawigacji (podążania za linkami), automatycznych przekierowań oraz podczas ładowania zasobów zewnętrznych (obrazki, CSS, skrypty). Latem ubiegłego roku w Chrome wprowadzono domyślne przejście na „ścisłe pochodzenie, gdy krzyżowe pochodzenie”.
Źródło: opennet.ru