(來自:Mozilla Blog)
更準確的說法是,傳統瀏覽器會在 HTTP Referrer 標頭中發送參考文檔的完整 URL(地址欄常見),且幾乎包含瞭每個導航或子資源的圖像、樣式和腳本請求。
對於目標網站來說,可將引薦來源的網址信息用於許多無害的用途,包括分析、日志記錄、或緩存優化。
遺憾的是,HTTP Referrer 標頭中也常常包含用戶的隱私數據,比如可顯示用戶正在引薦網站上閱讀哪些文章、甚至可包含有關該公司在網站上的賬戶信息。
於是在 2016 ~ 2018 年間,瀏覽器開始引入的‘引薦來源網址政策’(Referrer Policy),使得網站可以更好地控制其站點上的引薦來源信息,進而為用戶提供瞭額外的保護機制。
但若網站未能設置任何類型的引薦來源網址政策,則 Web 瀏覽器通常會默認啟用降級的“no-referrer-when-downgrade”政策。
該政策會在導航至不太安全的目的地時,對引薦來源網址進行修剪,否則就會發送完整的 URL(包括 path 路徑)和原始文檔的查詢信息(作為引薦來源)。
慶幸的是,為瞭不斷提升用戶隱私的保護力度,Mozilla 等瀏覽器開發商正在付出更多的努力。
除瞭推動安全超文本傳輸協議(HTTPs)和 Let's Encrypt 加密,Firefox 87 也將默認啟用針對引薦來源網址的修剪政策。
從 Firefox 87 開始,我們將把 Referrer Policy 默認設置為對跨域來源進行限制(strict-origin-when-cross-origin),以清理 URL 中可訪問的用戶敏感信息。
通過實施更嚴格的引薦來源網址政策,瀏覽器不僅可以修剪從 HTTPs 到 HTTP 的請求信息,還會修剪所有跨域請求的路徑和查詢信息。
如果你是 Firefox 瀏覽器用戶,那無需執行任何操作,即可享受到新版本帶來的這一益處。
如果尚未自動更新,也可手動升級至 Firefox 87,屆時新的默認政策將對用戶訪問的每個網站都生效。
留言列表
