Mozilla đã thay đổi cách tạo tiêu đề Người giới thiệu HTTP trong Firefox 87, dự kiến phát hành vào ngày mai. Để chặn khả năng rò rỉ dữ liệu bí mật, theo mặc định khi điều hướng đến các trang web khác, tiêu đề HTTP của Người giới thiệu sẽ không bao gồm URL đầy đủ của nguồn mà quá trình chuyển đổi được thực hiện mà chỉ bao gồm tên miền. Các tham số đường dẫn và yêu cầu sẽ bị cắt bỏ. Những thứ kia. thay vì “Người giới thiệu: https://www.example.com/path/?arguments”, “Người giới thiệu: https://www.example.com/” sẽ được gửi. Bắt đầu với Firefox 59, việc dọn dẹp này được thực hiện ở chế độ duyệt web riêng tư và giờ đây sẽ được mở rộng sang chế độ chính.
Hành vi mới sẽ giúp ngăn chặn việc chuyển dữ liệu người dùng không cần thiết sang mạng quảng cáo và các tài nguyên bên ngoài khác. Ví dụ: một số trang web y tế được đưa ra trong quá trình hiển thị quảng cáo mà trên đó các bên thứ ba có thể lấy được thông tin bí mật, chẳng hạn như tuổi và chẩn đoán của bệnh nhân. Đồng thời, việc xóa chi tiết khỏi Người giới thiệu có thể ảnh hưởng tiêu cực đến việc thu thập số liệu thống kê về chuyển đổi của chủ sở hữu trang web, những người giờ đây sẽ không thể xác định chính xác địa chỉ của trang trước, chẳng hạn như để hiểu bài viết nào đã được chuyển đổi từ. Nó cũng có thể làm gián đoạn hoạt động của một số hệ thống tạo nội dung động có nhiệm vụ phân tích các khóa dẫn đến quá trình chuyển đổi từ công cụ tìm kiếm.
Để kiểm soát cài đặt của Người giới thiệu, tiêu đề HTTP Chính sách giới thiệu được cung cấp, trong đó chủ sở hữu trang web có thể ghi đè hành vi mặc định cho các chuyển đổi từ trang web của họ và trả lại thông tin đầy đủ cho Người giới thiệu. Hiện tại, chính sách mặc định là "không có người giới thiệu khi hạ cấp", trong đó Người giới thiệu không được gửi khi hạ cấp từ HTTPS xuống HTTP nhưng được gửi ở dạng đầy đủ khi tải xuống tài nguyên qua HTTPS. Bắt đầu từ Firefox 87, chính sách “strict-origin-when-cross-origin” sẽ có hiệu lực, đồng nghĩa với việc cắt bỏ đường dẫn và tham số khi gửi request đến các máy chủ khác khi truy cập qua HTTPS, loại bỏ Referenceer khi chuyển từ HTTPS sang HTTP và chuyển Người giới thiệu đầy đủ cho các chuyển đổi nội bộ trong một trang web.
Thay đổi sẽ áp dụng cho các yêu cầu điều hướng thông thường (theo các liên kết sau), chuyển hướng tự động và khi tải các tài nguyên bên ngoài (hình ảnh, CSS, tập lệnh). Trong Chrome, việc chuyển đổi mặc định sang "strict-origin-when-cross-origin" đã được triển khai vào mùa hè năm ngoái.
Nguồn: opennet.ru