Mozilla 改變了在 Firefox 87 中產生 HTTP Referer 標頭的方式,計劃於明天發布。 為了阻止潛在的機密資料洩露,預設情況下,當導航到其他網站時,Referer HTTP 標頭將不包含進行轉換的來源的完整 URL,而僅包含網域。 路徑和請求參數將被刪除。 那些。 將發送“Referer:https://www.example.com/”,而不是“Referer:https://www.example.com/path/?arguments”。 從 Firefox 59 開始,這種清理是在隱私瀏覽模式下完成的,現在將擴展到主模式。
新行為將有助於防止將不必要的用戶資料傳輸到廣告網路和其他外部資源。 例如,一些醫療網站在展示廣告的過程中,第三方可以獲得機密信息,例如患者的年齡和診斷結果。 同時,從引用者中刪除詳細資訊可能會對網站所有者收集有關轉換的統計資料產生負面影響,網站所有者現在將無法準確確定上一頁的地址,例如,無法了解轉換是哪一篇文章從。 它還可能會破壞一些動態內容生成系統的運行,這些系統解析導致從搜尋引擎轉換的金鑰。
為了控制 Referer 的設置,提供了 Referrer-Policy HTTP 標頭,網站所有者可以使用該標頭覆蓋從其網站進行轉換的預設行為,並將完整資訊傳回給 Referer。 目前預設的策略是“no-referrer-when-downgrade”,即從HTTPS降級到HTTP時不發送Referer,而透過HTTPS下載資源時則以完整形式發送Referer。 從 Firefox 87 開始,「跨域嚴格」策略將生效,即透過 HTTPS 訪問時向其他主機發送請求時剪掉路徑和參數,從 HTTPS 切換到 HTTPS 時刪除 Referer HTTP,並傳遞完整的Referer 以進行一個站點內的內部轉換。
此變更將應用於正常導航請求(以下連結)、自動重定向以及載入外部資源(映像、CSS、腳本)時。 在 Chrome 中,去年夏天實現了預設切換為「跨源時嚴格源」。
來源: opennet.ru