O navegador Chrome impôs uma nova política de referenciador em seu navegador que se aplica nas versões 85+. O Chrome agora verifica se há um cabeçalho de segurança de referenciador adicionado às suas páginas da web. Se nenhum estiver presente, o Chrome usará automaticamente como padrão um cabeçalho estrito - strict-origin-when-cross-origin
Como isso afeta nossos scripts
Se o front-end do script for adicionado no mesmo domínio em que o script está instalado, não haverá problemas com a nova política de referência, pois tudo acontece no mesmo domínio e o navegador não reclamará sobre isso. A maioria dos nossos scripts, no entanto, é projetada para suportar o uso de domínios CROSS e, em muitos casos, nossos clientes usam o front-end de seus scripts em domínios diferentes daquele em que os scripts estão instalados.
O script é instalado em:
www.domainA.com ou sub.domainA.com ou apenas domainA.com (sem www)
O script é usado em:
www.domainB.com
Essa nova regra de aplicação afeta apenas scripts que usam o valor do referenciador para obter a página na qual o script é adicionado no momento. Esse script, por exemplo, é o script PHP do Carrinho de Compras , onde quando você clica nos menus no front-end, você verá o erro "Página não encontrada" ou será enviado para outra URL diferente daquela à qual o script foi adicionado.
O cabeçalho de segurança do referenciador (o cabeçalho Referer está sem um R, devido a um erro de ortografia original nas especificações do cabeçalho) controla qual URL é enviada do site de origem para o destino de um link. Existem vários valores diferentes de cabeçalhos de referenciador, mas os dois que revisaremos aqui são estes:
- sem referenciador quando rebaixado
- origem-estrita-quando-origem-cruzada
Quando referrer-policy não estiver definido, o navegador usará seu valor padrão para ele. Até agora, o navegador tinha como padrão a política no-referrer-when-downgrade, que define a URL completa como o referenciador. Com a nova configuração strict-origin-when-cross-origin, esse não é mais o caso. Este novo cabeçalho retorna apenas o nome do domínio. Isso é o que afeta nosso script, pois a página não está mais disponível e o script não sabe qual URL carregar exatamente.
Observe que tanto no-referrer-when-downgrade quanto strict-origin-when-cross-origin são necessários para serem seguros. Nenhum referenciador está presente quando a solicitação é feita de uma origem segura (HTTPS) para um destino inseguro (HTTP). Dessa forma, se seu script estiver instalado em um domínio que usa HTTPS, as URLs do seu script não estarão disponíveis em solicitações não HTTPS.
A solução
Se o seu script estiver na categoria para atualização, você precisa definir o valor Referrer-Policy como "no-referrer-when-downgrade".
Infelizmente, não há solução para corrigir isso diretamente no script. Mesmo se definirmos o cabeçalho correto no script, o que importa é a página na qual ele é adicionado, então o que precisa ser feito é adicionar (ou alterar) uma metatag no cabeçalho da sua página
Como fazer isso?
Abra sua página, onde o front end do script está instalado, com qualquer editor de texto e adicione esta metatag:
<meta name="referrer" content="no-referrer-when-downgrade">
Você pode limpar o cache do navegador e fazer testes para verificar se seu script funciona no Chrome como antes!
Lançaremos atualizações em nossos produtos para que você não precise adicionar essa metatag à sua página da web.
Aqui estão dois links com detalhes sobre as alterações da Referrer-Policy no Chrome 85+:
https://developers.google.com/web/updates/2020/07/referrer-policy-new-chrome-default
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Comentários (0)