Компанія Mozilla змінила метод формування заголовка HTTP Referer у випуску Firefox 87, наміченому на завтра. З метою блокування потенційних витоків конфіденційних даних за умовчанням при переході на інші сайти HTTP-заголовок Referer буде включати не повний URL-адреси джерела, з якого здійснено перехід, а лише домен. Шлях та параметри запиту будуть вирізатись. Тобто. замість «Referer: https://www.example.com/шлях/аргументи» буде переданий «Referer: https://www.example.com/». Починаючи з Firefox 59, подібна чистка проводилася в режимі приватного перегляду, а тепер буде поширена і на основний режим.
Нова поведінка допоможе запобігти передачі зайвих даних про користувача рекламним мережам та іншим зовнішнім ресурсам. Як приклад наводяться деякі медичні сайти, в процесі показу реклами на яких треті особи можуть отримати відомості про конфіденційний характер, такі як вік і поставлений пацієнту діагноз. При цьому видалення деталей із Referer може негативно вплинути на збір статистики про переходи власниками сайтів, які тепер не зможуть точно визначити адресу попередньої сторінки, наприклад, для розуміння з якої саме статті було здійснено перехід. Також може порушити роботу деяких систем динамічної генерації вмісту, що виконують розбір ключів, які призвели до переходу з пошукової системи.
Для управління виставленням Referer передбачено HTTP-заголовок Referrer-Policy, за допомогою якого власники сайтів можуть перевизначити стандартну поведінку для переходів зі свого сайту і повернути вказівку в Referer повної інформації. В даний час за умовчанням застосовується політика «no-referrer-when-downgrade», коли Referer не відправляється при переході з HTTPS на HTTP, але передається в повній формі при завантаженні ресурсів по HTTPS. Починаючи з Firefox 87 почне діяти політика "strict-origin-when-cross-origin", що передбачає вирізання шляхів і параметрів при надсиланні запиту на інші хости при зверненні по HTTPS, видалення Referer при переході з HTTPS на HTTP і передачу повного Referer для внутрішніх переходів у рамках одного сайту.
Зміна буде діяти для звичайних навігаційних запитів (переходів за посиланнями), автоматичних редиректів та завантаження зовнішніх ресурсів (зображень, СSS, скриптів). У Chrome перехід за умовчанням на strict-origin-when-cross-origin був здійснений влітку минулого року.
Джерело: opennet.ru