Migliorare la privacy degli utenti richiedendo l'attivazione per l'invio dell'intestazione X-Requested-With da WebView

Peter Birk Pakkenberg

Quando un utente installa ed esegue un'applicazione che utilizza WebView per incorporare contenuti web, WebView aggiunge l'intestazione X-Requested-With a ogni richiesta inviata ai server, con un valore del nome dell'APK dell'applicazione. Spetta poi al server web di destinazione stabilire se e come utilizzare queste informazioni.

Vogliamo proteggere la privacy dell'utente inviando questo intestazione solo alle richieste se lo sviluppatore dell'app attiva esplicitamente la condivisione con i servizi incorporati in WebView. Per raggiungere questo obiettivo e consentire ai servizi online attuali che dipendono da questa intestazione di non utilizzarla più, eseguiremo una prova di ritiro dell'origine, rimuovendo al contempo l'intestazione per il traffico generale. Parallelamente, svilupperemo nuove API incentrate sulla tutela della privacy (come le API di attestazione del client) per supportare i casi d'uso in cui attualmente viene utilizzato l'intestazione X-Requested-With.

Per scoprire di più sul motivo per cui stiamo apportando questa modifica e su come funziona, consulta l'articolo Migliorare la privacy degli utenti richiedendo l'attivazione per l'invio dell'intestazione X-Requested-With da WebView nel blog per sviluppatori Android.