Lorsqu'un utilisateur installe et exécute une application qui utilise une WebView pour intégrer du contenu Web, la WebView ajoute l'en-tête X-Requested-With à chaque requête envoyée aux serveurs, avec une valeur correspondant au nom de l'APK de l'application. Il appartient ensuite au serveur Web destinataire de déterminer si et comment utiliser ces informations.
Nous souhaitons protéger la confidentialité de l'utilisateur en n'envoyant cet en-tête que sur les requêtes si le développeur de l'application active explicitement le partage avec les services intégrés à la WebView. Pour ce faire et permettre aux services en ligne actuels qui dépendent de cet en-tête de ne plus l'utiliser, nous allons exécuter un test de l'origine de l'abandon, tout en supprimant l'en-tête pour le trafic général. En parallèle, nous allons développer de nouvelles API protégeant la confidentialité (telles que les API d'attestation client) pour répondre aux cas d'utilisation dans lesquels l'en-tête X-Requested-With est utilisé aujourd'hui.
Pour en savoir plus sur les raisons de ce changement et sur son fonctionnement, consultez l'article Améliorer la confidentialité des utilisateurs en exigeant l'activation de l'envoi de l'en-tête X-Requested-With à partir de WebView sur le blog des développeurs Android.