A Mozilla mudou a forma como gera o cabeçalho HTTP Referer no Firefox 87, com lançamento previsto para amanhã. Para bloquear possíveis vazamentos de dados confidenciais, por padrão, ao navegar para outros sites, o cabeçalho Referer HTTP não incluirá a URL completa da fonte a partir da qual a transição foi feita, mas apenas o domínio. Os parâmetros de caminho e solicitação serão cortados. Aqueles. em vez de “Referer: https://www.example.com/path/?arguments”, “Referer: https://www.example.com/” será enviado. A partir do Firefox 59, essa limpeza era feita no modo de navegação privada, e agora será estendida para o modo principal.
O novo comportamento ajudará a evitar a transferência de dados desnecessários dos usuários para redes de publicidade e outros recursos externos. A título de exemplo, são dados alguns sites médicos, no processo de exibição de publicidade em que terceiros podem obter informações confidenciais, como idade e diagnóstico do paciente. Ao mesmo tempo, a remoção de detalhes do Referer pode afetar negativamente a coleta de estatísticas sobre transições pelos proprietários do site, que agora não serão capazes de determinar com precisão o endereço da página anterior, por exemplo, para entender em qual artigo a transição foi feita de. Também pode interromper a operação de alguns sistemas de geração de conteúdo dinâmico que analisam as chaves que levaram à transição do mecanismo de busca.
Para controlar a configuração do Referer, é fornecido o cabeçalho HTTP Referrer-Policy, com o qual os proprietários do site podem substituir o comportamento padrão para transições de seu site e retornar as informações completas ao Referer. Atualmente, a política padrão é "no-referrer-when-downgrade", onde o Referer não é enviado durante o downgrade de HTTPS para HTTP, mas é enviado em formato completo ao baixar recursos por HTTPS. A partir do Firefox 87, a política “strict-origin-when-cross-origin” entrará em vigor, o que significa cortar caminhos e parâmetros ao enviar uma solicitação para outros hosts ao acessar via HTTPS, remover o Referer ao mudar de HTTPS para HTTP e passando o Referer completo para transições internas dentro de um site.
A mudança se aplicará a solicitações normais de navegação (seguir links), redirecionamentos automáticos e ao carregar recursos externos (imagens, CSS, scripts). No Chrome, a mudança padrão para “origem estrita quando origem cruzada” foi implementada no verão passado.
Fonte: opennet.ru