قبل البدء:
- إذا لم تكن متأكّدًا من الفرق بين "الموقع الإلكتروني" و"المصدر"، يمكنك الاطّلاع على مقالة فهم مصطلح "نفس الموقع" و"المصدر نفسه".
- لا يتضمّن عنوان
Referer
حرف R، وذلك بسبب خطأ إملائي أصلي في المواصفات، عِلمًا أنّه يتم كتابة العنوانReferrer-Policy
وreferrer
في JavaScript وDOM بشكل صحيح.
ملخّص
- تتطوّر المتصفحات في ما يتعلّق بسياسات المُحيل التلقائية لتحسين الخصوصية لتوفير طريقة بديلة جيدة عندما لا يتم ضبط سياسة في الموقع الإلكتروني.
- يخطّط Chrome لتفعيل
strict-origin-when-cross-origin
تدريجيًا كسياسة تلقائية في الإصدار 85، وقد يؤثر ذلك في حالات الاستخدام التي تعتمد على قيمة المُحيل من مصدر آخر. - هذا هو الإعداد التلقائي الجديد، ولكن يظلّ بإمكان المواقع الإلكترونية اختيار السياسة التي تريدها.
- لتجربة التغيير في Chrome، يمكنك تفعيل العلامة على
chrome://flags/#reduced-referrer-granularity
. يمكنك أيضًا الاطّلاع على هذا العرض التوضيحي للاطّلاع على التغيير العملي. - بالإضافة إلى سياسة المُحيل، قد تتغير طريقة تعامل المتصفحات مع المُحيلين، لذا ننصحك بمراقبتها.
ما هي التغييرات التي يتم إجراؤها ولماذا؟
قد تتضمّن طلبات HTTP عنوان Referer
الاختياري الذي يشير إلى عنوان URL المصدر أو صفحة الويب الذي تم تقديم الطلب منه. يحدّد عنوان Referer-Policy
البيانات التي يتم توفيرها في العنوان Referer
، وللتنقّل وإطارات iframe في document.referrer
للوجهة.
ويتم تحديد المعلومات المُرسَلة في عنوان Referer
في الطلب الوارد من موقعك الإلكتروني
من خلال عنوان Referrer-Policy
الذي تضبطه.
في حال عدم ضبط سياسة، يتم استخدام الإعدادات التلقائية للمتصفّح. وغالبًا ما تستخدم المواقع الإلكترونية الإعدادات التلقائية للمتصفّح.
في عمليات التنقّل وإطارات iframe، يمكن أيضًا الوصول إلى البيانات الواردة في العنوان Referer
من خلال
JavaScript باستخدام document.referrer
.
حتى وقت قريب، كان
no-referrer-when-downgrade
سياسة تلقائية واسعة النطاق في المتصفحات. ومع ذلك، أصبحت العديد من المتصفّحات الآن في مرحلة الانتقال إلى المزيد من الإعدادات التلقائية لتحسين الخصوصية.
يخطّط Chrome لتغيير سياسته التلقائية من no-referrer-when-downgrade
إلى
strict-origin-when-cross-origin
، بدءًا من الإصدار 85.
هذا يعني أنّه في حال عدم ضبط أي سياسة لموقعك الإلكتروني، سيستخدم Chrome
strict-origin-when-cross-origin
تلقائيًا. تجدر الإشارة إلى أنّه بإمكانك ضبط سياسة من اختيارك، ولن يؤثّر هذا التغيير إلا في المواقع الإلكترونية التي لم يتمّ تحديد سياسة لها.
ما معنى هذا التغيير؟
يوفّر strict-origin-when-cross-origin
المزيد من الخصوصية. من خلال هذه السياسة، يتم إرسال
المصدر فقط في العنوان Referer
للطلبات من عدّة مصادر.
ويمنع ذلك تسرُّب البيانات الخاصة التي يمكن الوصول إليها من أجزاء أخرى من عنوان URL الكامل، مثل المسار وسلسلة طلب البحث.
مثلاً:
طلب من مصادر متعددة، يتم إرساله من https://site-one.example/stuff/detail?tag=red إلى https://site-two.example/...:
- باستخدام "
no-referrer-when-downgrade
": المُحيل: https://site-one.example/stuff/detail?tag=red - باستخدام "
strict-origin-when-cross-origin
": المُحيل: https://site-one.example/
ما الميزات التي لم تتغيّر؟
- كما هي الحال في
no-referrer-when-downgrade
،strict-origin-when-cross-origin
آمن: لا يتوفّر مُحيل (العنوانReferer
وdocument.referrer
) عند إرسال الطلب من مصدر HTTPS (آمن) إلى مصدر HTTP واحد (غير آمن). بهذه الطريقة، إذا كان موقعك الإلكتروني يستخدم بروتوكول HTTPS (وإذا لم يكن كذلك، اجعله من الأولويات)، لن تتسرّب عناوين URL لموقعك الإلكتروني في طلبات غير مستندة إلى HTTPS، نظرًا لأنه يمكن لأي شخص على الشبكة رؤية هذه البروتوكولات، لذا قد يعرض ذلك المستخدمين لهجمات الوسيط. - ضِمن المصدر نفسه، تكون قيمة العنوان
Referer
هي عنوان URL الكامل.
مثال: طلب الأصل نفسه، المُرسَل من https://site-one.example/stuff/detail?tag=red إلى https://site-one.example/...:
- باستخدام "
strict-origin-when-cross-origin
": المُحيل: https://site-one.example/stuff/detail?tag=red
ما التأثير؟
استنادًا إلى المناقشات مع المتصفحات الأخرى وتجارب Chrome التي تم تنفيذها في Chrome 84، من المتوقع أن يكون الأعطال المرئية للمستخدم محدودة.
ومن المحتمل أن يتأثر التسجيل من جهة الخادم أو الإحصاءات التي تعتمد على توفُّر عنوان URL المُحيل الكامل المتاح بانخفاض دقّة هذه المعلومات.
الإجراءات المطلوبة منك
يخطّط Chrome لبدء طرح سياسة المُحيل التلقائية الجديدة اعتبارًا من 85 عامًا (تموز (يوليو) 2020 للإصدار التجريبي، آب (أغسطس) 2020 للإصدار التجريبي، آب (أغسطس) 2020). راجِع الحالة في إدخال حالة Chrome.
التعرّف على التغيير ورصده
لفهم التغييرات التلقائية الجديدة على أرض الواقع، يمكنك الاطّلاع على هذا العرض التوضيحي.
يمكنك أيضًا استخدام هذا العرض التوضيحي لرصد السياسة المطبَّقة في نسخة Chrome الافتراضية قيد التشغيل.
اختبار التغيير ومعرفة ما إذا كان سيؤثر في موقعك الإلكتروني
يمكنك تجربة التغيير بدءًا من إصدار Chrome 81: انتقِل إلى
chrome://flags/#reduced-referrer-granularity
في Chrome وفعِّل العلامة. عند تفعيل هذه العلامة، ستستخدم جميع المواقع الإلكترونية التي لا تتضمن أي سياسة إعدادات strict-origin-when-cross-origin
التلقائية الجديدة.
يمكنك الآن التحقّق من سلوك موقعك الإلكتروني والخلفية.
لرصد التأثير الآخر، عليك التأكّد ممّا إذا كانت قاعدة الرموز الخاصة بموقعك الإلكتروني تستخدم المُحيل، إما من خلال عنوان Referer
للطلبات الواردة على الخادم أو من document.referrer
في JavaScript.
قد تتعطّل أو تعمل بعض الميزات على موقعك الإلكتروني بشكل مختلف إذا كنت تستخدم مُحيل الطلبات من مصدر آخر إلى موقعك الإلكتروني (على وجه التحديد المسار و/أو سلسلة طلب البحث)، ويستخدم هذا المصدر سياسة المُحيل التلقائية للمتصفّح (أي أنّه لم يتم ضبط أي سياسات).
إذا كان ذلك يؤثر في موقعك الإلكتروني، ننصحك بالتفكير في بدائل.
إذا كنت تستخدم المُحيل للوصول إلى المسار الكامل أو سلسلة طلب البحث للطلبات الواردة إلى موقعك الإلكتروني، فلديك بعض الخيارات:
- يمكنك استخدام أساليب وعناوين بديلة، مثل
Origin
وSec-fetch-Site
، لحماية ملف CSRF، وتسجيل البيانات، وحالات الاستخدام الأخرى. يُرجى الاطّلاع على مقالة سياسة المُحيل والمحيل: أفضل الممارسات. - يمكنك الاتفاق مع الشركاء على سياسة معيّنة إذا كان ذلك مطلوبًا وواضحة للمستخدمين.
قد يشكّل التحكّم في الوصول، عندما تستخدم المواقع الإلكترونية المُحيل إمكانية وصول محدَّد إلى مواردها
إلى مصادر أخرى، على الرغم من تغيير Chrome، ستستمر مشاركة المصدر
في عنوان
Referer
(وفيdocument.referrer
).
تجدر الإشارة إلى أنّ معظم المتصفّحات تتحرك في اتجاه مشابه عندما يتعلق الأمر بالمُحيل (اطّلِع على الإعدادات التلقائية للمتصفّح وتطوراتها في مقالة "سياسة الإحالة والإحالة": أفضل الممارسات.
تنفيذ سياسة واضحة لتحسين الخصوصية في جميع أقسام موقعك الإلكتروني
ما هي سياسة Referer
التي يجب إرسالها في الطلبات التي تنشأ من موقعك الإلكتروني، أي سياسة يجب ضبطها لموقعك الإلكتروني؟
حتى مع التغيير الذي طرأ على Chrome، يُفضَّل ضبط سياسة صريحة لتحسين الخصوصية مثل strict-origin-when-cross-origin
أو سياسة أكثر صرامة في الوقت الحالي.
يحمي ذلك المستخدمين ويجعل موقعك الإلكتروني يتصرف بشكل أكثر توقُّعًا في جميع المتصفحات. وهي تمنحك في الغالب إمكانية التحكم، بدلاً من جعل موقعك الإلكتروني يعتمد على الإعدادات التلقائية للمتصفّح.
يمكنك الاطّلاع على سياسة المُحيل وسياسة المُحيل: أفضل الممارسات للحصول على تفاصيل حول ضبط سياسة معيّنة.
لمحة عن Chrome Enterprise
تتوفر سياسة Chrome Enterprise
ForceLegacyDefaultReferrerPolicy
لمشرفي تكنولوجيا المعلومات الذين يريدون فرض سياسة المُحيل التلقائية السابقة الخاصة
بـ no-referrer-when-downgrade
في بيئات المؤسسات. يمنح ذلك المؤسسات وقتًا إضافيًا
لاختبار تطبيقاتها وتحديثها.
ستتم إزالة هذه السياسة في الإصدار 88 من Chrome.
إرسال الملاحظات
هل لديك ملاحظات تريد مشاركتها أو تريد الإبلاغ عنها؟ يمكنك مشاركة الملاحظات حول نية Chrome في الشحن أو إرسال تغريدة لأسئلتك على العنوان @maudnals.
شكرًا جزيلاً على المساهمات والملاحظات التي أرسلها جميع المراجعين، لا سيما "كاوستوبا غوفيند" و"ديفيد فان كليف" و"مايك ويست" و"سام دوتون" و"روان ميروود" و"جيكسك" و"كايس باسكيس".