Peter Birk Pakkenberg
ユーザーが WebView を使用してウェブ コンテンツを埋め込むアプリをインストールして実行すると、WebView は、サーバーに送信されるすべてのリクエストに X-Requested-With ヘッダーを追加し、その値にアプリの APK 名を設定します。この情報を使用できるかどうか、またどのように使用するかについては、受信側のウェブサーバーが判断します。
Google は、アプリ デベロッパーが WebView に埋め込まれたサービスとの共有を明示的にオプトインした場合にのみ、リクエストでこのヘッダーを送信することで、ユーザーのプライバシーを保護したいと考えています。この目標を達成し、このヘッダーに依存する現在のオンライン サービスがヘッダーの使用を停止できるようにするため、一般的なトラフィックのヘッダーを削除しながら、非推奨のオリジン トライアルを実施します。同時に、現在 X-Requested-With ヘッダーが使用されているユースケースに合わせて、新しいプライバシー保護 API(クライアント構成証明 API など)を開発します。
この変更を行う理由と仕組みについて詳しくは、Android デベロッパー ブログの WebView から X-Requested-With ヘッダーを送信するオプトインを必須にしてユーザーのプライバシーを保護するをご覧ください。