一种新的Chrome默认引用策略:严格来源时跨来源
如果您不确定";站点&34;和";来源";之间的区别,请查看了解";Same-Site&34;和";Same-Origin&34;。
由于规范中的原始拼写错误,Referer标题缺少R。JavaScript和DOM中的Referrer-Policy头和Referrer拼写正确。
浏览器正朝着增强隐私的默认引用策略发展,以便在网站未设置策略时提供良好的后备。
Chrome计划在85中逐步启用交叉来源时严格来源作为默认策略;这可能会影响依赖于另一个来源的引用器值的用例。
这是新的默认设置,但网站仍然可以选择自己选择的策略。
要在Chrome中尝试更改,请启用Chrome://flag/#Reduced-Referrer-Granulality中的标志。您还可以查看此演示,以了解实际操作中的更改。
除了推荐人政策之外,浏览器与推荐人打交道的方式可能会改变-所以请密切关注它。
HTTP请求可以包括可选的RefererHeader,它指示发出请求的来源或网页URL。Referer-PolicyHeader定义哪些数据在Referer头中可用,并用于目标的document中的导航和IFRAME。Referrer。
您站点请求的Referer标头中发送的确切信息由您设置的Referrer-Policy标头决定。
如果未设置策略,则使用浏览器的默认设置。网站通常遵循浏览器的默认设置。
对于导航和IFRAME,Referer标头中存在的数据也可以通过使用Docent.referrer的JavaScript进行访问。
直到最近,降级时不推荐人一直是浏览器普遍采用的默认策略。但现在,许多浏览器都在某种程度上转向更多隐私增强的默认设置。
这意味着如果您的网站没有设置策略,Chrome会默认使用跨地域时严格来源。请注意,您仍然可以设置您选择的策略;此更改仅对未设置策略的网站有效。
注意:帮助减少静默跨站用户跟踪的这一步骤是一个更大的计划的一部分:隐私沙箱(Privacy Sandbox)。有关更多详细信息,请查看PrivacySandbox。
跨来源时严格原产地提供了更多隐私。使用此策略时,跨域请求的Referer Header中只发送源。
这可以防止可能从完整URL的其他部分(如路径和查询字符串)访问的私有数据的泄漏。
与降级时无引用一样,跨源安全时严格来源也一样:当请求从HTTPSsource(安全)到HTTP源(不安全)时,不会出现Referrer(Referer Header和Docent.Referrer)。在HTTP源(安全)到HTTP源(不安全)之间发出请求时,不会出现Referrer(Referer Header和Docent.ferrer)。这样,如果您的网站使用HTTPS(如果不使用HTTPS,则将其设置为优先级),您的网站的URL将不会在非HTTPS请求中泄露-因为网络上的任何人都可以看到这些请求,因此这将使您的用户受到中间人攻击。
根据与其他浏览器的讨论,以及Chrome自己在Chrome84上运行的实验,预计用户可见的破坏将是有限的。
依赖于可用的完整引用URL的服务器端日志记录或分析可能会受到该信息粒度降低的影响。
Chrome计划在85年开始推出新的默认推荐人政策(测试版在2020年7月,稳定版在2020年8月)。请参阅Chrome状态条目中的状态。
您还可以使用此演示来检测您正在运行的Chrome实例中应用了什么策略。
您已经可以尝试从Chrome81开始的更改:访问Chrome中的Chrome://FLAGS/#Reduced-Referrer-Granulality并启用该标志。启用此标志后,所有没有策略的网站都将使用新的跨域时严格来源默认值。
检测影响的另一件事是检查您的网站的代码库是否使用了Referrer--或者通过服务器上传入请求的Referer头,或者通过JavaScript中的Docent.ferrer。
如果您正在使用从其他来源到您网站的请求的引用(更具体地说是路径和/或查询字符串),并且此来源使用浏览器的默认引用策略(即没有设置策略),则您网站上的某些功能可能会中断或表现不同。
如果您正在使用推荐人访问您站点请求的完整路径或查询字符串,您有几个选择:
对于CSRF保护、日志记录和其他使用情形,请使用其他技术和标头,如Origin和SEC-Fetch-Site。查看推荐人和推荐人-政策:最佳实践。
如果需要并且对您的用户透明,您可以在特定策略上与合作伙伴保持一致。访问控制-当网站使用推荐人授予对其资源的特定访问权限时-可能会出现这种情况,尽管使用Chrome进行了更改,但仍会在Referer页眉(和Docent.ferrer)中显示该来源。
请注意,当涉及到Referer时,大多数浏览器都朝着类似的方向移动(请参阅浏览器默认设置及其在Referer和Referrer-Policy:Best Practices中的演变)。
在您的网站发起的请求中应该发送什么推荐人,即您应该为您的网站设置什么策略?
即使考虑到Chrome的变化,现在就制定一个明确的、增强隐私的政策也是一个好主意,比如跨来源时严格原产地或更严格。
这保护了您的用户,并使您的网站在不同浏览器之间的行为更具可预测性。大多数情况下,它让你控制,而不是让你的网站依赖浏览器的默认设置。
Chrome企业策略ForceLegacyDefaultReferrerPolicy可供IT管理员使用,他们希望在企业环境中强制执行以前的默认推荐人策略,即降级时不推荐人。这为企业提供了额外的时间来测试和更新其应用程序。
您有什么反馈要分享或有什么要报告的吗?分享对Chrome合作意向的反馈,或者在推特上留言@maudnals。
非常感谢所有评论家的贡献和反馈-特别是考斯图巴·戈文德、大卫·范克莱夫、迈克·韦斯特、萨姆·达顿、罗文·梅鲁伍德、Jxck和Kayce Basque。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
谢谢你的反馈。如果您对如何改进此页面有具体的想法,请创建一个问题。
订阅我们的RSS或Atom提要,在您最喜爱的提要阅读器中获取最新更新!
