Amélioration de la confidentialité des utilisateurs grâce à l'activation de l'envoi de l'en-tête X-Requested-With à partir de WebView

Peter Birk Pakkenberg
Peter Birk Pakkenberg

Lorsqu'un utilisateur installe et exécute une application qui utilise un composant WebView pour intégrer des éléments contenu, la WebView ajoutera l'en-tête X-Requested-With à chaque requête envoyée aux serveurs, avec une valeur correspondant au nom de l'APK de l'application. Elle est ensuite laissée à l'administrateur serveur Web de réception pour déterminer si et comment utiliser ces informations.

Nous souhaitons protéger la confidentialité des données de l'utilisateur en n'envoyant cet en-tête que dans les demandes le développeur de l'application accepte explicitement le partage avec les services intégrés au WebView. Pour y parvenir et laisser les services en ligne actuels qui en dépendent vous ne pouvez plus l'utiliser, nous lançons une évaluation avant arrêt, tout en supprimant l'en-tête pour le trafic général. En parallèle, nous verrons développer de nouvelles API protégeant la confidentialité (comme les API d'attestation client) pour correspondent aux cas d'utilisation où l'en-tête X-Requested-With est utilisé aujourd'hui.

Pour en savoir plus sur les raisons de ce changement et sur son fonctionnement, consultez le blog des développeurs Android dans Améliorer la confidentialité des utilisateurs en exigeant l'activation de l'envoi de l'en-tête X-Requested-With depuis WebView.