Lorsqu'un utilisateur installe et exécute une application qui utilise un composant WebView pour intégrer du contenu Web, cette WebView ajoute l'en-tête X-Requested-With à chaque requête envoyée aux serveurs, avec une valeur correspondant au nom de l'APK de l'application. C'est ensuite au serveur Web destinataire de déterminer si et comment utiliser ces informations.
Nous voulons protéger la confidentialité de l'utilisateur en n'envoyant cet en-tête dans les requêtes que si le développeur de l'application accepte explicitement le partage avec les services intégrés à WebView. Pour ce faire et permettre aux services en ligne actuels qui dépendent de cet en-tête de ne plus l'utiliser, nous effectuerons une phase d'évaluation, tout en supprimant l'en-tête pour le trafic général. En parallèle, nous allons développer de nouvelles API protégeant la confidentialité (telles que les API d'attestation client) pour correspondre aux cas d'utilisation où l'en-tête X-Requested-With est utilisé aujourd'hui.
Pour en savoir plus sur les raisons de cette modification et son fonctionnement, consultez le blog des développeurs Android dans la section Renforcer la confidentialité des utilisateurs en exigeant l'activation de l'envoi de l'en-tête X-Requested-With depuis WebView.