Mozilla Firefox不久将包含修订的“引荐来源网址”政策,以加强查询并更好地保护用户信息。
Firefox 87将于3月23日发布,它将缩减路径并从引荐来源标头中查询字符串信息,“以防止站点意外泄漏敏感用户数据。”
在周一的博客文章中,开发人员Dimi Lee和安全基础结构工程经理Christoph Kerschbaumer表示,最新的浏览器版本将包括“更严格,更保留隐私的默认引荐来源网址政策”。
浏览器将HTTP Referrer标头发送到网站,以指示哪个位置已将用户“引荐”到网站服务器。参考文档的完整URL通常与其他子资源请求一起在HTTP Referrer标头中发送,尽管它可能包含用于分析目的的无害信息,但也可能包含私有用户数据。
引荐来源网址政策旨在保护这些数据,但是如果网站未设置任何策略,则该网址通常默认为“ no-referrer-when-downgrade”。但仍“发送完整URL,包括原始文档的路径和查询信息作为引荐来源”。
该小组说:“'不推荐降级'政策是过去网络的遗迹,当时认为敏感的网络浏览是通过HTTPS连接进行的,因此不应泄漏HTTP请求中的信息。” “今天的网络看起来已经大不相同了:网络正迈向仅使用HTTPS的道路,浏览器正在采取措施来减少各个网站之间的信息泄漏。现在是时候根据这些新目标更改默认的引荐来源网址政策了。”
因此,Firefox 87将在浏览器的“引荐来源网址”策略中默认引入“ strict-origin-when-cross-origin”,这将删除敏感的用户信息(包括路径和查询字符串),这些信息可在URL和来自以下位置的请求中访问HTTPS到HTTP以及所有跨域请求。
Firefox说:“ Firefox将对所有导航请求,重定向的请求和子资源(图像,样式,脚本)请求应用新的默认“引荐来源网址政策”,从而显着提高私人浏览体验。”