Mozilla har Àndrat hur HTTP Referer-headern Àr utformad i Firefox 87, vilket Àr planerat att slÀppas imorgon. För att blockera potentiella lÀckor av konfidentiell data kommer Referer HTTP-headern som standard inte att inkludera hela URL:en för kÀllan frÄn vilken övergÄngen gjordes, utan endast domÀnen, nÀr man byter till andra webbplatser. SökvÀgen och förfrÄgningsparametrarna kommer att tas bort. Det vill sÀga, istÀllet för "Referer: https://www.example.com/path/?arguments" kommer det att vara "Referer: https://www.example.com/". Sedan Firefox 59 har sÄdan rensning utförts i privat surflÀge, och nu kommer den att utökas till huvudlÀget.
Det nya beteendet kommer att bidra till att förhindra att onödiga anvÀndardata överförs till annonsnÀtverk och andra externa resurser. Vissa medicinska webbplatser nÀmns som ett exempel, dÀr tredje part kan fÄ konfidentiell information, sÄsom patientens Älder och diagnos, under visningen av annonser. Samtidigt kan borttagning av information frÄn Referer negativt pÄverka insamlingen av statistik om övergÄngar av webbplatsÀgare, som nu inte kommer att kunna faststÀlla adressen till föregÄende sida korrekt, till exempel för att förstÄ frÄn vilken artikel övergÄngen gjordes. Funktionen hos vissa dynamiska innehÄllsgenereringssystem som analyserar nycklarna som ledde till övergÄngen frÄn sökmotorn kan ocksÄ störas.
HTTP-headern Referrer-Policy anvÀnds för att styra instÀllningen för refereraren, vilket gör det möjligt för webbplatsÀgare att ÄsidosÀtta standardbeteendet för övergÄngar frÄn sin webbplats och returnera indikationen pÄ fullstÀndig information i refereraren. För nÀrvarande Àr standardpolicyn "no-referrer-when-downgrade", dÀr refereraren inte skickas vid vÀxling frÄn HTTPS till HTTP, utan överförs i sin helhet nÀr resurser laddas över HTTPS. FrÄn och med Firefox 87 kommer policyn "strict-origin-when-cross-origin" att gÀlla, vilket innebÀr att sökvÀgar och parametrar klipps bort nÀr en begÀran skickas till andra vÀrdar vid Ätkomst via HTTPS, att refereraren tas bort vid vÀxling frÄn HTTPS till HTTP och att hela refereraren överförs för interna övergÄngar inom en enda webbplats.
Ăndringen kommer att gĂ€lla vanliga navigeringsförfrĂ„gningar (lĂ€nkklick), automatiska omdirigeringar och vid laddning av externa resurser (bilder, CSS, skript). Chrome bytte till "strict-origin-when-cross-origin" som standard förra sommaren.
KĂ€lla: opennet.ru
