Limiter les referers (au moins dans l'espace privé) #3834

Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs.

Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard

Referrer-Policy: origin-when-cross-origin

Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée.

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

afin de limiter la fuite d'infos quand on passe de https à http.

Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE.

Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :)

cf. aussi https://core.spip.net/projects/spip/repository/revisions/23162

+1 j'y pensais aussi pour la page de plugins-dist/statistiques qui listes les liens entrants.

gogogo
Version cible mise à 4.0

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

D'après https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy no-referrer-when-downgrade est utilisé par défaut donc pas grand chose à faire de ce côté :)

Je vais chercher à quel endroit on peut définir ces headers et je tente de m'y coller asap.

Intégré par 3479d6cf53
Statut changé à Fermé

Super, par contre il semble y avoir une typo avec ray($entetes); (?) => ha je crois me souvenir que c'est le nouveau truc pour ne plus faire de var_dump cf https://freek.dev/1868-introducing-ray-a-debugging-tool-for-pragmatic-developers

Corrigé https://git.spip.net/spip/statistiques/commit/faaab360 :)

fuck, merci !