(Foto: Mozilla)

Mer kontroll for nettsted-eiere

Firefox støtter kommende «referrer»-standard.

Når man klikker på en lenke på et nettsted, en lenke som peker til en annen webside på nettstedet eller til et helt annet nettsted, så vil nettleseren opplyse webserveren til den websiden man går inn på om adressen til den siden man kom fra. Denne informasjonen finnes i HTTP Referer-headeren (inkludert skrivefeilen) og kan være nyttig for mange nettsteder. I alle fall kommersielle nettsteder er opptatt å vite hva som skaper trafikk, inkludert de eksterne kildene til denne trafikken – som altså ofte er lenker på andre nettsteder.

Stort sett er dette ikke noe problem, verken for nettsteder eller brukere. Men det finnes unntak, for eksempel at adressen som er oppgitt i HTTP Referer-headeren inkluderer informasjon som kan identifisere brukeren, slik som brukernavn eller -id. Dette kan potensielt misbrukes.

Derfor er Mozilla nå i ferd med å innføre støtte for en webteknologi som kan begrense disse mulighetene, uten å fjerne dem helt – noe som er mulig med HTML5 og nøkkelordet noreferrer som verdi for attributten rel i lenker.

Referrer Policy

Siden i fjor sommer har det i regi av W3C blitt jobbet med en ny webteknologi som kalles for Referrer Policy (uten skrivefeilen denne gang). Dette er en policy som gjør det mulig for utgiveren av en webside å i større grad avgjøre hva «referrer»-informasjonen skal inneholde og når den skal sendes.

Referrer Policy-spesifikasjonen er basert på arbeid WHATWG tidligere har gjort med en nå foreldet spesifikasjon som heter Meta referrer.

Webutviklere kan ta i bruk Referrer Policy ganske enkelt ved å inkludere et HTML-elementet «meta» med «referrer» som navn og for eksempel «origin» som policy-verdi. «Origin» omfatter typisk skjema/protokollnavn (for eksempel «HTTP»), vanligvis etterfulgt av «://», domenenavn/servernavn/IP-adresse og eventuelt et portnummer.

De resterende delene av URL-en, slik som PATH, Query_string og fragmentindikator (#), utelates. Dermed kan nettstedet man besøker bare se hvilket nettsted man kommer fra, men ikke fra hvilken side eller annen mer avslørende informasjon.

Chrome

Firefox er dog ikke først ute med slik støtte. Google, som leder arbeidet med Referrer Policy-spesifikasjonen, har støttet Meta referer siden Chrome 21. I alle fall Google selv og Facebook har dessuten tatt i bruk slike metatagger på en del av websidene sine. Dette opplyser Google her.

På den samme siden opplyses det også at Apple er i ferd med å implementere teknologien i Safari. Internet Explorer og Project Spartan skal få støtte for Referrer Policy i år.

Til toppen