The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 87 будет урезано содержимое HTTP-заголовка Referer

22.03.2021 20:43

Компания Mozilla изменила метод формирования заголовка HTTP Referer в выпуске Firefox 87, намеченном на завтра. С целью блокирования потенциальных утечек конфиденциальных данных по умолчанию при переходе на другие сайты HTTP-заголовок Referer будет включать не полный URL источника, с которого осуществлён переход, а лишь домен. Путь и параметры запроса будут вырезаться. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/". Начиная с Firefox 59 подобная чистка производилась в режиме приватного просмотра, а теперь будет распространена и на основной режим.

Новое поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам. В качестве примера приводятся некоторые медицинские сайты, в процессе показа рекламы на которых третьи лица могут получить сведения конфиденциального характера, такие как возраст и поставленный пациенту диагноз. При этом удаление деталей из Referer может негативно повлиять на сбор статистики о переходах владельцами сайтов, которые теперь не смогут точно определить адрес предыдущей страницы, например для понимания с какой именно статьи был совершён переход. Также может нарушиться работа некоторых систем динамической генерации содержимого, выполняющих разбор ключей, которые привели к переходу из поисковой системы.

Для управления выставлением Referer предусмотрен HTTP-заголовок Referrer-Policy, при помощи которого владельцы сайтов могут переопределить поведение по умолчанию для переходов со своего сайта и вернуть указание в Referer полной информации. В настоящее время по умолчанию применяется политика "no-referrer-when-downgrade", при которой Referer не отправляется при переходе с HTTPS на HTTP, но передаётся в полной форме при загрузке ресурсов по HTTPS. Начиная с Firefox 87 начнёт действовать политика "strict-origin-when-cross-origin", подразумевающая вырезание путей и параметров при отправке запроса на другие хосты при обращении по HTTPS, удаление Referer при переходе с HTTPS на HTTP и передачу полного Referer для внутренних переходов в рамках одного сайта.

Изменение будет действовать для обычных навигационных запросов (переходов по ссылкам), автоматических редиректов и при загрузке внешних ресурсов (изображений, СSS, скриптов). В Chrome переход по умолчанию на "strict-origin-when-cross-origin" был осуществлён летом прошлого года.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla свернула разработку проектов Voice Fill и Firefox Voice
  3. OpenNews: Из Firefox намерены убрать компактный режим отображения панелей
  4. OpenNews: В ночных и бета сборках Firefox включена по умолчанию поддержка HTTP/3
  5. OpenNews: HTML 5.2 получил статус рекомендованного стандарта (
  6. OpenNews: Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/54809-referrer
Ключевые слова: referrer, referer, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (86) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (??), 21:17, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Говоря откровенно, и сейчас Referer не считается надёжным источником информации. И есть риск что блоггггеры будут встраивать параметры сразу в URL mygovnoblog.com/1234-kak-zasunut-kozu-v-betonomeshalku-utm-referer-jewtube-channel-gauptvahta.
     
     
  • 2.4, Онаним (?), 21:21, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Да хосспаде, пусть встраивают. Чем нечитабельнее и разнороднее URL - тем ниже будет поисковая выдача.
     
     
  • 3.5, InuYasha (??), 21:23, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Сомневаюсь. Разве гуглу ещё не пофиг на УРЛ? А юзерам сейчас вообще не важно, на что тыкать "Поделиться..." и выбрать воцапку.
     
     
  • 4.66, Аноним (66), 10:37, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда-то встречал на некоторых сайтах аутентификацию через referer, не помню точно на каком сайте, но он был популярным. И насколько знаю это не редкий подход.
     
     
  • 5.83, Аноним (83), 19:53, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На многих бордах с движком vichan стоит блокировка постигла при отсутствии полного реферера, если это не отключено самим администратором в настройках.
     
  • 3.90, fuggy (ok), 20:26, 24/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так хром уже только домен в адресной строке показывает. Так что пользователь даже ничего не заметит.
     
     
  • 4.93, rvs2016 (ok), 16:01, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Так хром уже только домен в адресной строке показывает.
    > Так что пользователь даже ничего не заметит.

    Он заметит это тогда, когда зайдёт на страницу, ресурсы которой предоставляются только после авторизации, пойдёт с этой страницы на страницу авторизации, а обратно по испорченному Файрфоксом рефереру попадёт не исходную страницу, а на главную страницу сайта.

    Вердикт: [B]медвежья услуга![/B]

    Не так ли?

     
  • 2.13, Аноним (13), 21:35, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Путь удаляется. Только mygovnoblog.com/ и останется.
     
     
  • 3.18, мяя (?), 21:51, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Замечательно, теперь будет:
    https://utm-referer-jewtube-channel-gauptvahta.mygovnoblog.com/1234-kak-zasunu
     
     
  • 4.35, Total Anonimus (?), 22:58, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Замучаешься с сертификатом на всё новые и новые "поддомены" .
     
     
  • 5.36, zer0nka (ok), 23:10, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    wildcard не?
     
     
  • 6.52, Аноним (52), 01:53, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и плати за вайлдкард. Деньги на ветер, у меня рефереры вообще отключены.
     
     
  • 7.53, Аноним (53), 03:17, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    зачем платить? летсенкрипт прекрасно выдает те же вайлдкарды.
     
     
  • 8.65, n00by (ok), 09:58, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как всё замечательно спланировано И, главное, бесплатно ... текст свёрнут, показать
     
  • 4.81, kissmyass (?), 17:52, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хз откуда столько напряга, у меня стоит SmartReferer, который в качестве реферера подставляет целевую страницу (имитирует переход по прямой ссылке)
     
  • 2.92, rvs2016 (ok), 15:58, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > И есть риск что блоггггеры будут
    > встраивать параметры сразу в URL
    > mygovnoblog.com/1234-kak-zasunut-kozu-v-betonomeshalku-utm-referer-jewtube-channel-gauptvahta

    Так это же им не поможет потому, что от всего этого в реферере останется только mygovnoblog.com

     

  • 1.2, Онаним (?), 21:18, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Трекерам урезали осетра?
    Why not.
     
  • 1.3, Аноним (-), 21:18, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опеннетик когда выключит принудиловку на реферер?
     
     
  • 2.6, Аноним (-), 21:24, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем ? У правильных анонимов же

    Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0

    в которой реф таки полный

     
     
  • 3.10, Аноним (10), 21:32, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неактуально, уже
    Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
     
     
  • 4.47, Аноним (-), 01:30, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ис этой "актуальностью" сервер опеннетика пишет про твою _излишнюю_ анонимность, лол.
     
     
  • 5.79, Аноним (-), 16:27, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дисятый всиравно ни понил нипуркуа. Помнити про бисер, сэр ?
     
  • 3.44, Miha (??), 00:46, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эмм.. а разъясните если не сложно, зачем менять user-agent под винду?
     
     
  • 4.64, Full Master (?), 09:43, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Винда наиболее популярна, поэтому сменив user-agent и обмазавшись аддонами, которые отдают трекерам ложную инфу, ты не будешь выделяться на фоне остальных.
     
  • 4.67, Аноним (67), 11:18, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Его и не нужно менять В Firefox достаточно установить privacy resistFingerprint... большой текст свёрнут, показать
     
  • 2.62, Аноним (52), 09:14, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где?

    network.http.referer.XOriginPolicy = 2
    network.http.referer.XOriginTrimmingPolicy = 2

    И всё, что нужно, работает.

     
     
  • 3.84, Аноним (-), 20:40, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Добавь network.http.referer.trimmingPolicy = 2 и комментарии не возможны, ввиду вашей излишней анонимности.
     

  • 1.8, Аноним (8), 21:26, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    в Firefox вечно что-то урезают
     
     
  • 2.31, Аноним (31), 22:32, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    В это раз урезали передачу данных левым сайтам. И это хорошо.
     

  • 1.9, Аноним (9), 21:30, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Додумались. Не прошло и 20 лет
     
     
  • 2.25, Аноним (25), 22:13, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что, кто-то размещает в УРЛе конфиденциальную инфу?!
     
     
  • 3.28, Аноним (28), 22:28, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Там размещай не размещай - посещаемому сайту о реферрере знать вообще не обязательно за редким исключением, следовательно не нужно разглашать эту инфу
     
     
  • 4.41, InuYasha (??), 00:09, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На самом деле, на удивление много сайлов сломалось когда я отключил Referrer в браузере. А ClownFlare - так вообще обкакался.
     
     
  • 5.42, InuYasha (??), 00:11, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PS: смотрим куда ведёт баннер IDECO внизу страницы )
     
  • 5.43, Аноним (43), 00:38, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На cf это как раз разумный способ защиты от ddos - сравнивать соответствие заголовка user-agent стандартному поведению декларируемого браузера. То, что вместе с миллионной бот-фермой ддосеров отвалятся полтора анонимуса - нормальный компромисс.
     
  • 2.71, Аноним (71), 13:51, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем. Сначала надо как бы переход на главную страницу делать, затем как обычный поиск по сайту делать, а не напрямую кидать. Это ж роботами можно проверить что за страница там на сайте сюда людей кидает.
     
  • 2.86, Kuromi (ok), 20:59, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да это все и раньше можно было. Во времена XUL аддонов корректирующих Referer было как рыбы в море. Напомнить вам опять же о стародавных проносайтах контент на которых был доступен с простым поддельным referer?
    Проблема не в  этом, а в том что ну очень многие сайты и сервисы слегка сходят с ума когда начинаешь резат рефереры. Сейчас браузеры сообща начинают это делать и владельцам сайтов придется смахнув слезу смириться с этим
     

  • 1.11, Аноним (10), 21:34, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Будет ли это означать, что появится удобный интерфейс из-коробки, чтобы заниматься этими регулировками? Или придётся учить JS-mozilla-settings-edition и заниматься никому не нужным писаловом очень нужных плагинов?
     
  • 1.12, timur.davletshin (ok), 21:35, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Глюковатый релиз намечается. Срёт в консоль ошибками о библиотеках EGL, слетел показ информации в about:support, появился неудаляемый без хака в userchrome.css пункт меню "what's new" со всякой ненужной пургой.

    Поторопились.

     
     
  • 2.15, Аноним (15), 21:41, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> появился неудаляемый без хака в userchrome.css пункт меню "what's new" со всякой ненужной пургой

    Главная цель релиза достигнута.
    Чего вам все не так?

     
  • 2.85, Kuromi (ok), 20:55, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А EGL опять "откладывается". Несколько релизов тому назад в Багзилле был движуха "make EGL default", но сейчас этому таску дали Р5 и подзабыли о нем.
     
  • 2.88, Kuromi (ok), 02:49, 24/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати на проприетарной Невидии похоже EGL вообще все. Я читал в багзилле что они "не собираются его использовать тут потому что Невидия глючная и выгоды никакой", но похоже там теперь ее и софтблок поставлен - с MOZ_X11_EGL=1 ФФ сразу вываливается в Software Webrender. Печально, т.к. тащить и GLX и EGL одновременно Мозилла не захочет (там и так есть персонаж призывавший все кроме Wayland бросить), а пока там Нвидия разродится.
     

  • 1.14, Аноним (14), 21:39, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему через хедеры? Специально же атрибуты сделали к тегу a rel="noreferrer" Без этого атрибута должно всё передаваться. Зачем они опять ломают стандарты?
     
     
  • 2.17, Аноним (15), 21:44, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Гугл вычищает технологически отставших конкурентов и жадных самопальщиков.
    Пользуйтесь адвордс.
    Там всегда все правильно работает :)
     
     
  • 3.20, гугель (?), 22:06, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Там всегда все правильно работает

    И нам очень удобно, что проверить это ты теперь никак не сможешь.

    Верь нам, мы не обманем - точно переход был по ключевому слову, а не хз что нам там померещилось.

     
  • 2.21, Аноним (21), 22:06, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это был временный костыль.
     
     
  • 3.24, гугель (?), 22:09, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Угу, костыль - позволял гаду такому ВЛАДЕЛЬЦУ сайта решать, какую информацию передавать, а какую нет.

    Решать должны только МЫ!

     
     
  • 4.38, Аноним (21), 23:38, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Рекламщику podgorelo.
     
  • 4.58, nebularia (ok), 05:40, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что Privacy by default. И это хорошо. Так бы до сих пор сидели с флешем и суперкуками.
     
  • 2.29, Аноним (28), 22:30, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну мне, как юзеру, вообще без разницы что там в rel, делиться хедером я не намерен
     
  • 2.46, Аноним (46), 01:11, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Согласен - эта обрезка полный бред. Абсолютная некомпетентность тех кто это делает. Многие сервисы строят разные проверки на этом деле. А теперь досвидания.
    Вообще такое впечатление, уже лет эдак 10, что толи люди на глазах тупеют, толи те кто с мозгами куда-то все переехали скопом, остались единицы.
     
     
  • 3.49, Аноним (25), 01:34, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > уже лет эдак 10, что толи люди на глазах тупеют, толи те кто с мозгами куда-то все переехали скопом

    Похоже, корона не в прошлом году появилась, а гораздо раньше, и выела все нейроны.

     
  • 3.63, Аноним (15), 09:36, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Многие сервисы строят разные проверки на этом деле. А теперь досвидания.

    Так в этом и смысл.

     

  • 1.19, Kusb (?), 21:55, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Mycoolpost.n.x32g7sx.id.posts.server.za?
    А вырезание информации о месте отправления не может сломать какие-то сайты? Разная логика в зависимости от реферера и внезапно реферер другой.
     
     
  • 2.22, гугель (?), 22:08, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Нет, не может - мы уже проверили на обоих сайтах - на ютубе и на гуглопоиске.

    P.S. а твоего сайтика нам не то что не жалко, а он вообще не должен существовать и отвлекать НАШИХ пользователей от ютубчика и поиска (который вернет, конечно же, ссылку на ютубчик).

     
  • 2.23, Аноним (21), 22:08, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Если на один и тот же GET-запрос ты выдаёшь разные данные в зависимости от реферера (и это не способ запретить хотлинкинг), то поздравляю — ты говнокодер.
     
     
  • 3.26, Аноним (25), 22:20, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ты можешь показать где-то в стандарте, что GET URL должен быть функцией только от URL?
     
     
  • 4.69, Аноним (69), 13:00, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, да :-) По rfc7231 safe/cacheable - запросы, и заголовок Referer в этом смысле ничем не хуже заголовка Host.
     

  • 1.27, Аноним (27), 22:23, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Помнится у Vivaldi какая-то ...ая логика работы официального форума, что он с обрезанным реферером спамит "No connection" и не даёт как писать свои посты, так и голосовать за чужие. Теперь вот с FF такая ситуация там будет по-умолчанию :) Ну и отлично! Авторы такой логики должны гореть.
     
     
  • 2.54, AnonPlus (?), 04:03, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чувак, если это в Хроме уже скоро как год реализовано, то поверь, все, кто хотел, уже исправили свои сайты.
     

  • 1.30, Аноним (28), 22:31, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давно пора. Umatrix к счастью вообще чистит его целиком и оставляет там домен (без урла) только если ссылка на том же домене. Но вообще в целом не передавать его это просто здравый смысл
     
     
  • 2.34, Google (?), 22:55, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Deprecated твой umatrix, ublock тоже скоро доломаем.
     
     
  • 3.39, Аноним (28), 00:02, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обойдетесь :)
     

  • 1.32, marginal282 (?), 22:37, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Новое поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам.

    Война — это мир, а Рабство — это свобода?

    Мазила, когда уберёшь со своих сайтиков скриптоту "рекламных сетей и прочих внешних ресурсов"?

    Хватит позориться, клоуны.

     
  • 1.33, Аноним (33), 22:53, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сначала мы плодим эти зиголовки и прочую вебню, а потом вырезаем. Ну а чего, нормально устроились.

    Это видать iPony армия.

     
  • 1.37, user90 (?), 23:13, 22/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда его резал. Хочу уточнить, это то, что там в последней части запроса? Так никто уже давно не переходит по прямым ссылкам) Как минимум заблочены все сторонние скрипты, так что оналитики им взять негде.
     
  • 1.45, Ilya Indigo (ok), 01:09, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скажите пожалуйста, если на сайте только по HTTPS используется Referer для перехода на страницу авторизации (тот же домен), а потом возвращения пользователя назад (домен не изменяется), откуда пользователь пришёл (Referer нужен полный) то нужно изменять Referrer-Policy или и так всё будет работать?
     
     
  • 2.50, x3who (?), 01:45, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Емли на сайте для этого используется реферрер -то это бред собачий. Почему просто не сохранить параметры запроса в сессии? Ну, например, клиент постик навалял в несколько килобайт - а тут при отправке выяснилось, что пока валял постик - сессия протухла и надо авторизоваться - в гет-параметр постик тааой не засунешь, так что при использовании реыеррера - пропал постик. Клиенту обидно. Вообще факт использования реферреров сразу говорит, что с сайтом что-то не так. На ресурс, содержание которого зависит от реферрера сослаться невозможно - значит в топку такие сайты.
     
     
  • 3.51, Ilya Indigo (ok), 01:52, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Емли на сайте для этого используется реферрер -то это бред собачий. Почему
    > просто не сохранить параметры запроса в сессии?

    Потому что для этого нужно автостарт сессии использовать для всех гостей, что как раз и есть бред собачий!
    > пока валял постик - сессия протухла

    Это зависит от времени жизни сессии и её обновления, и каким боком тут вообще реферер?

     
     
  • 4.97, x3who (?), 12:47, 27/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Емли на сайте для этого используется реферрер -то это бред собачий. Почему
    >> просто не сохранить параметры запроса в сессии?
    > Потому что для этого нужно автостарт сессии использовать для всех гостей, что
    > как раз и есть бред собачий!

    Ну пришел к тебе юзер по ссылке из гугла или своих собственных закладок - ты его авторизовал и... отправил обратно. Отличный механизм, чо.

    >> пока валял постик - сессия протухла
    > Это зависит от времени жизни сессии и её обновления, и каким боком
    > тут вообще реферер?

    Сам же написал, "для перехода на страницу авторизации (тот же домен), а потом возвращения пользователя назад"

     
  • 3.70, Ordu (ok), 13:50, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > например, клиент постик навалял в несколько килобайт - а тут при отправке выяснилось, что пока валял постик - сессия протухла и надо авторизоваться

    Авторизуешься, потом возвращаешься назад туда, где постик в несколько килобайт был набран. Копипастишь, на всякий случай, Ctrl-R. Вставляешь, постишь. Я всегда так делаю.

     
  • 3.87, Kuromi (ok), 21:03, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот поэтому аксакалы катая многостраничную портянку как минимум копипастят её в блокнот, mousepad или еще что-то подобное, перед отправкой, ибо ситация "пост профукался" и сейчас не редкость.
     
  • 2.56, Аноним (56), 04:56, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у тебя страница с логином same origin, то ничего делать не надо, насколько я понимаю.

    Но вообще, для этого обычно делают login?return=/foo/bar

     

  • 1.55, lockywolf (ok), 04:52, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ящитаю, вообще надо отменить referrer. Referrer -- это "introduction of state", а веб должен быть функциональным.
     
     
  • 2.57, Аноним (25), 04:58, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Считай, что твой функциональный веб есть функция состояния.
     

  • 1.59, КО (?), 07:13, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ха, ясненько чего Ютуб теперь идентификатор юзера не показывает.
     
  • 1.61, Алекс (??), 09:07, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бесит эта лютая дичь, что они на сайте по умолчанию предлагают скачать билд с внедренным зондом яндекса, а ссылка на кошерный билд в самом низу. Это их золотой спонсор или что?
     
  • 1.68, Аноним (68), 12:04, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм, если всё равно на уровне сервера решается политика заголовком то её переопределят
     
  • 1.72, Аноним (72), 15:08, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сгорел сарай - гори и хата. Видимо Мозилла посчитала, что пользователи ей совсем не нужны и полностью переквалифицировалась в фонд по борьбе с чем-то там, а ведь я эти такие новости более 10 лет читал, подумать только, 10 лет ковырял труп.
     
     
  • 2.73, Имяреков Раковерн (?), 15:23, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В Chrome переход по умолчанию на "strict-origin-when-cross-origin" был осуществлён летом прошлого года.
     
     
  • 3.74, шмурзилла (?), 15:30, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Chrome просто работает, вот просто работает как браузер и всё.
     
     
  • 4.78, Ууууу... (?), 16:23, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И попутно имеет вас и ваш ПК в ухо.
     
     
  • 5.82, гуглезила (?), 19:28, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нам - можно. А плахим-плахим владельцам сайтов (которые иногда и правда строили на этом антиспамы и антиддосы) низзя!

     

  • 1.77, Ууууу... (?), 16:22, 23/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец-то решили встроить в браузер расширение PureURL...
     
  • 1.91, fuggy (ok), 20:54, 24/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > вырезана передача полного Referer для внутренних переходов в рамках одного сайта

    Я не понял зачем это делать в рамках одно сайта? Если это один и тот же сайт он и так знает на какой предыдущей странице я был, достаточно в access.log посмотреть. Сейчас все сайты используют куки для сессий, просто теперь это будет сложнее реализовать.

     
     
  • 2.95, rvs2016 (ok), 16:19, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Если это один и тот же сайт он и так знает
    > на какой предыдущей странице я был,

    Ну да. Знает, конечно. Просто теперь надо будет использование реферера переваять на другие варианты.

    > достаточно в access.log посмотреть.

    Ого. Мегабайты перелопачивать в каждом запросе! :о)

    Вместо использования реферерва теперь просто адрес текущей страницы надо в форме вставлять в переменную типа <INPUT TYPE=hidden NAME=referer VALUE=$url>

    > Сейчас все сайты используют куки для сессий

    Кукам умники умеют скручивать шею якобы для безопасности. Так что на них рассчитывать можно не всегда.

     
     
  • 3.96, fuggy (ok), 04:08, 27/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мегабайты перелопачивать в каждом запросе

    Смотря для какой цели. Если для целей сбора аналитики, то не обязательно на каждый запрос. Ведь вырезали передачу реферера по соображения приватности, что бесполезно, потому что сайт сам про себя знает, кто его посещал.

    > просто адрес текущей страницы надо в форме вставлять

    Интересное решение и простое. Но сейчас никто формы не использует как задумано. А при авторизации прямо в GET параметр вставляют адрес страницы, на которую перейти после авторизации. То есть разработчики и сейчас не особо referef пользовались.

     

  • 1.94, 1 (??), 16:03, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это все хорошо. А пользователей все меньше и меньше и вряд ли какие-либо инициативы mozilla в плане безопасности что-то в общем и целом в плане безопасности веба изменят, нет уже того влияния что было несколько лет назад.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру