Firefox 87 запретит передачу данных о пользователях рекламным сетям и другим внешним ресурсам

Из HTTP Referer вырежут всё, кроме домена.

Компания Mozilla представила ключевое изменение в Firefox 87. Речь идёт о новой политике формирования заголовка HTTP Referer. Теперь при переходе на другие сайты он будет включать не полный URL страницы, с которой осуществлён переход, а только домен. Путь и параметры будут вырезаться.

Это поможет предотвратить передачу лишних пользовательских данных внешним ресурсам, в том числе рекламным сетям. В качестве примера таких данных приводятся статьи, которые читал пользователь, информация об учётной записи, а на некоторых медицинских сайтах — возраст и поставленный пациенту диагноз.

Схема HTTP Referer в Firefox

Теперь при переходе будет виден только домен

Благодаря внедрению Referrer Policy в браузерах владельцы сайтов получили больший контроль над Referer. Но если веб-сайт не устанавливал свою политику, то по умолчанию использовался подход «no-referrer-when-downgrade». Он обрезал заголовок при переходе с HTTPS на HTTP, но при загрузке ресурсов по HTTPS передавалась полная форма. Теперь же браузеры переходят на политику «strict-origin-when-cross-origin», которая:

  • вырезает пути и параметры при отправке запроса на другие хосты при обращении по HTTPS;
  • удаляет Referer при переходе с HTTPS на HTTP;
  • передаёт полный Referer для внутренних переходов на сайте.

Изменения будут действовать для переходов по ссылкам, автоматических редиректов, загрузки внешних ресурсов — например, изображений, стилей, скриптов. Ранее политика «strict-origin-when-cross-origin» была реализована в Google Chrome.

Источник: Mozilla Security Blog