Recentemente, descobri que não estava conseguindo fazer login em determinados sites usando o Firefox. Não tenho certeza quando exatamente isso começou a acontecer. No momento, estou executando o Firefox 14.0.1. Os logins funcionam bem em outros navegadores.
O tempo mais recente me deu o erro mais descritivo.
Forbidden (403)
CSRF verification failed. Request aborted.
You are seeing this message because this HTTPS site requires a 'Referer header'
to be sent by your Web browser, but none was sent. This header is required for
security reasons, to ensure that your browser is not being hijacked by third
parties.
If you have configured your browser to disable 'Referer' headers, please
re-enable them, at least for this site, or for HTTPS connections, or for
'same-origin' requests.
Isso me levou a encontrar uma resposta para o meu problema emoutra pergunta. Em about:config, "network.http.sendRefererHeader" foi definido como "0". Alterei a configuração para "1" e consegui fazer login com sucesso. Não me lembro de ter configurado isso sozinho, então me pergunto se uma configuração padrão foi alterada durante uma atualização.
Minha pergunta: há um motivo pelo qual os cabeçalhos dos referenciadores devem ser desativados? É uma questão de segurança?
Responder1
A string de cabeçalho HTTP_REFERER identifica o URL em que você estava "on" quando clicou em um link e fez com que seu navegador emitisse outra solicitação HTTP. Isso pode ser considerado uma violação de privacidade. Muitos sites insistem que esta string de cabeçalho está definida corretamente como uma espécie de defesa contra solicitações geradas por máquina e hotlinks.
Você pode ter um complemento preocupado com a segurança que pode estar fazendo com que o Firefox não envie este cabeçalho ou envie dados falsos nele.