Mozilla har ändrat sättet att generera HTTP Referer-huvudet i Firefox 87, planerat att släppas imorgon. För att blockera potentiella läckor av konfidentiell data, när du navigerar till andra webbplatser, kommer referens-HTTP-huvudet som standard inte att inkludera hela URL:en till källan från vilken övergången gjordes, utan endast domänen. Parametrarna för sökväg och begäran kommer att klippas ut. De där. istället för ”Referer: https://www.example.com/path/?arguments”, ”Referer: https://www.example.com/” skickas. Från och med Firefox 59 gjordes denna rensning i privat surfläge och kommer nu att utökas till huvudläge.
Det nya beteendet kommer att bidra till att förhindra överföring av onödiga användardata till reklamnätverk och andra externa resurser. Som ett exempel ges några medicinska webbplatser i färd med att visa reklam där tredje part kan få konfidentiell information, såsom patientens ålder och diagnos. Samtidigt kan borttagning av detaljer från referenten negativt påverka insamlingen av statistik om övergångar av webbplatsägare, som nu inte kommer att kunna exakt fastställa adressen till föregående sida, till exempel för att förstå vilken artikel övergången gjordes från. Det kan också störa driften av vissa dynamiska innehållsgenereringssystem som analyserar nycklarna som ledde till övergången från sökmotorn.
För att styra inställningen av Referer tillhandahålls HTTP-huvudet Referrer-Policy, med vilken webbplatsägare kan åsidosätta standardbeteendet för övergångar från sin webbplats och returnera hela informationen till Refereraren. För närvarande är standardpolicyn "no-referrer-when-downgrade", där referenten inte skickas vid nedgradering från HTTPS till HTTP, utan skickas i full form vid nedladdning av resurser över HTTPS. Från och med Firefox 87 kommer policyn "strict-origin-when-cross-origin" att träda i kraft, vilket innebär att man klipper ut sökvägar och parametrar när man skickar en förfrågan till andra värdar vid åtkomst via HTTPS, tar bort Referer när man byter från HTTPS till HTTP och skickar hela referenten för interna övergångar inom en plats.
Ändringen kommer att gälla normala navigeringsförfrågningar (följande länkar), automatiska omdirigeringar och när externa resurser laddas (bilder, CSS, skript). I Chrome implementerades standardväxlingen till "strict-origin-when-cross-origin" förra sommaren.
Källa: opennet.ru