Firefox 87 将默认移除 HTTP Referrer 反向链接 以保护用户隐私

2021年3月22日 Firefox 宣布，Firefox 87 将引入更严格，更保留隐私的默认“引荐来源网址”政策。从现在开始，默认情况下，Firefox 将修剪引荐来源标头中的路径和查询字符串信息，以防止站点意外泄漏敏感用户数据。

从 Firefox 87 开始，我们将默认的“引荐来源网址”策略设置为“ strict-origin-when-cross-origin”，这将修剪URL中可访问的用户敏感信息。原文参考：  https://blog.mozilla.org/security/2021/03/22/firefox-87-trims-http-referrers-by-default-to-protect-user-privacy

早在 2020年7月的 Chrome 85 更新中将 strict-origin-when-cross-origin 设为默认设置，原文参考：  https://developers.google.com/web/updates/2020/07/referrer-policy-new-chrome-default

浏览器发送HTTP Referrer标头（注意：原始规范名称为“ HTTP Referer”），以向网站发出信号，指示该用户“引用”了该网站的服务器。更准确地说，浏览器传统上在HTTP Referrer标头中发送了参考文档的完整URL（通常是地址栏中的URL），并且几乎包含了每个导航或子资源（图像，样式，脚本）请求。网站可以将引荐来源网址信息用于许多相当无辜的用途，包括分析，日志记录或优化缓存。

HTTP Referrer标头通常包含私人用户数据：它可以显示用户在引荐网站上正在阅读哪些文章，甚至可以包含有关用户在网站上的帐户的信息。

浏览器中引入了“引荐来源网址政策”，使网站可以更好地控制其站点上的引荐来源价值，从而提供了一种保护用户隐私的机制。但是，如果网站未设置任何类型的引荐来源网址政策，则Web浏览器通常会默认使用“ no-referrer-when-downgrade”政策，该政策会在导航到不太安全的目的地（例如，导航）时对引荐来源网址进行修剪从https：到http :)，否则发送完整的URL（包括path）和原始文档的查询信息作为引荐来源。

Referrer 请求头

Referrer 请求头包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源，可能会以此进行统计分析、日志记录以及缓存优化等。

造成的影响

首先，有些系统依赖 Referrer 请求头来识别用户从哪个页面跳转过来的，比如登陆页面就会根据 Referrer 请求头将用户重新跳转回登陆之前的页面，如果 Referrer 是错误的，就会导致登陆以后跳转到错误的地址，导致出现错误页面。

其次，我们使用的常见的统计和分析软件可能无法获取到用户的来源页面，只能看到由哪个域名过来的，这就会造成统计分析不准确或者数据缺失。

对个人用户来说是福音，这保护的用户的隐私，浏览器不会告诉请求的网站你是从哪个页面跳转过来的。