2021-03-24 13:36:49

Firefox 87 将默认移除 HTTP Referrer 反向链接 以保护用户隐私


Firefox 87 将默认移除 HTTP Referrer 反向链接 以保护用户隐私

2021年3月22日 Firefox 宣布,Firefox 87 将引入更严格,更保留隐私的默认“引荐来源网址”政策。从现在开始,默认情况下,Firefox 将修剪引荐来源标头中的路径和查询字符串信息,以防止站点意外泄漏敏感用户数据。

从 Firefox 87 开始,我们将默认的“引荐来源网址”策略设置为“ strict-origin-when-cross-origin”,这将修剪URL中可访问的用户敏感信息。原文参考:  https://blog.mozilla.org/security/2021/03/22/firefox-87-trims-http-referrers-by-default-to-protect-user-privacy

早在 2020年7月的 Chrome 85 更新中将 strict-origin-when-cross-origin 设为默认设置,原文参考:  https://developers.google.com/web/updates/2020/07/referrer-policy-new-chrome-default

浏览器发送HTTP Referrer标头(注意:原始规范名称为“ HTTP Referer”),以向网站发出信号,指示该用户“引用”了该网站的服务器。更准确地说,浏览器传统上在HTTP Referrer标头中发送了参考文档的完整URL(通常是地址栏中的URL),并且几乎包含了每个导航或子资源(图像,样式,脚本)请求。网站可以将引荐来源网址信息用于许多相当无辜的用途,包括分析,日志记录或优化缓存。

HTTP Referrer标头通常包含私人用户数据:它可以显示用户在引荐网站上正在阅读哪些文章,甚至可以包含有关用户在网站上的帐户的信息。

浏览器中引入了“引荐来源网址政策”,使网站可以更好地控制其站点上的引荐来源价值,从而提供了一种保护用户隐私的机制。但是,如果网站未设置任何类型的引荐来源网址政策,则Web浏览器通常会默认使用“ no-referrer-when-downgrade”政策,该政策会在导航到不太安全的目的地(例如,导航)时对引荐来源网址进行修剪从https:到http :),否则发送完整的URL(包括path)和原始文档的查询信息作为引荐来源。

Referrer 请求头

Referrer 请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。

造成的影响

首先,有些系统依赖 Referrer 请求头来识别用户从哪个页面跳转过来的,比如登陆页面就会根据 Referrer 请求头将用户重新跳转回登陆之前的页面,如果 Referrer 是错误的,就会导致登陆以后跳转到错误的地址,导致出现错误页面。

其次,我们使用的常见的统计和分析软件可能无法获取到用户的来源页面,只能看到由哪个域名过来的,这就会造成统计分析不准确或者数据缺失。

对个人用户来说是福音,这保护的用户的隐私,浏览器不会告诉请求的网站你是从哪个页面跳转过来的。


商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003475
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!