Webkit强化智能关注预防功能,现在关注预防不会成为反被关注的特征

浏览器Safari的浏览引擎Webkit强化智能关注预防功能,能防止网页侦测浏览器打开关注预防功能,现在iOS 13.3、iPadOS 13.3的Safari,以及macOS Catalina、Mojave和High Sierra上的Safari 13.0.3的用户,都因这项功能获得进一步隐私保护。

关注预防功能常被当作一种关注矢量,由于关注预防和内容阻挡器会依照来源或是网址,给给差异化的对待,而当这些来源或是网页为浏览器提供唯一性,或是网页可以侦测到浏览器的差异对待,则关注预防和内容阻挡器可能反过来,被网页用来进行关注。

为了解决这个问题,Webkit官方认为,关注预防功能必须要被难以侦测,甚至是无法侦测,因此为智能关注预防增加三个功能,不仅能够反侦测之外,也能改进整体关注预防功能。

智能关注预防功能现在将所有跨站请求参照地址标头,降级成为页面来源,过去这个操作只有针对到分类域名的跨站请求。Webkit官方举例,过去对https://images.example的请求,包含的参照地址标头为https://store.example/baby/strollers/deluxe-stroller-navy-blue.html,但现在会减少成只有https://store.example/。

而且现在没有用户进行交互的状况下,网站上所有第三方Cookies将被阻挡,除非第一方网站已经收到用户的交互,否则智能关注预防功能将阻止所有第三方审查Cookie的请求,而这与第三方域名的分类状态无关。

原本Safari的Cookie政策就严格限制第三方设置Cookie,现在智能关注预防功能更新后,Storage Access API在处理document.hasStorageAccess()的调用时,会同时考虑Safari的Cookie政策,所以当智能关注预防功能阻挡Cookie且显性存储访问也未同意,document.hasStorageAccess()调用将解析为false,还有当域名没有Cookie而且Cookie政策阻挡Cookie,则该函数调用也会回传false。

官方提到,由于Safari的Cookie政策已经实行10年,而且多数网站想要以第三方使用Cookie,也会同时设置第一方Cookie,因此这个限制造成的影响很小,仅极罕见的实例案例需要改变做法。