Mozilla本周宣布,即将于3月23日出炉的Firefox 87将具备更严格的参照政策(Referrer Policy),其HTTP参照地址(HTTP referrer)的默认值将采用严格设置,不让用户所访问的网站得知使用的连接路径与查询字符串,以强化用户隐私。
HTTP参照地址是HTTP标头的一个字段,它能显示从哪里连接到目前的网页,例如当用户点击浏览器中的一个超连接时,浏览器会发送一个请求到目的网页的服务器,而该请求就会出现在HTTP参照字段内,秀出用户访问该站的前一个网页。这让现有的网页可识别用户从何处而来,也可对抗伪造的跨网站请求,然而,它同时也暴露了用户的隐私。
于是浏览器企业自2016年起便开始导入参照政策,允许网站通过该政策来保护自家用户,当网站未设置参照政策时,其默认值为“降级时不提供来源参照”,也即若用户是从一个采用HTTPS的网站连至HTTP网站,那么就不会秀出来源网站,否则它就会提供完整的来源路径与原始的查询信息作为参照。
有鉴于全球HTTPS流量已占所有流量的8成以上,浏览器的参照默认值已落伍,使得Mozilla决定采用更严格的参照默认值,只要是跨域名的请求,就会移除参照中的路径与请求信息,且适用于所有的导航请求、重定向请求,以及包括图像、样式与脚本的子资源请求,以提供更具隐私的浏览经验。
新的参照政策将随着预计于今天(3/23)问世的Firefox 87而炉,现在Firefox也采用自动更新政策,用户不必采取任何行动就能自动升级至最新版本。