Mozilla 已经正式宣布,从 Firefox 87(火狐 87) 版本起,将引入更为严格、更保留隐私的默认referrer 新政策 strict-origin-when-cross-origin,这样做的目的是防止站点意外泄漏敏感用户数据,以保护 Firefox 用户的隐私。该政策支持 Linux、Windows、MacOS 平台。如要安装,可参考在Deepin 20系统中下载和安装最新国际版Firefox浏览器的方法。
前言 Referrer(因历史遗留原因代码中写作 Referer)参数是 http 请求头里的一个关键参数, 说明了用户是从哪个页面发起该请求的。但是,referrer 头经常包含用户的隐私数据,比如用户在引用网站上阅读哪些文章、甚至是用户在网站上的账户信息。因此,W3C 官方提出了一些候选策略 Referrer Policy,以规范 referrer 内容。
strict-origin-when-cross-origin 介绍 从 Firefox 87 版本起,将新增默认的引荐来源网址策略 “strict-origin-when-cross-origin”,用于修剪用户敏感信息,例如路径和查询字符串,以保护隐私。 届时,Firefox 的默认 referrer 策略是 “strict-origin-when-cross-origin”,即当从 HTTPS 网站跳转到 HTTP 网站或者请求其资源时(安全降级 HTTPS→HTTP),不显示 referrer 的信息,其他情况(安全同级 HTTPS→HTTPS,或者 HTTP→HTTP)则在 referrer 中显示完整的源网站的 URL 信息。不过,由于目前的网络正朝着全部使用 HTTPS 的方向发展,因此 Mozilla 认为 Firefox 应该采取更加严格的 referrer 策略。 新的 referrer 策略 strict-origin-when-cross-origin 不仅会截断从 HTTPS 到 HTTP 的请求信息,还会截断所有跨源请求的路径和查询信息。Mozilla 表示,Firefox 将从 87 版本开始,对所有导航请求、重定向请求和子资源(图片、样式、脚本)请求应用新的默认引用者策略,从而提供更私密的浏览体验。 注:用户如想体验到该新 referrer 政策,得把 Firefox 版本升级至 87 或更高。
相关主题 |