Когда пользователь устанавливает и запускает приложение, которое использует WebView для внедрения веб-контента, WebView добавит заголовок X-Requested-With к каждому запросу, отправленному на серверы, со значением имени APK приложения. Затем принимающему веб-серверу остается определить, следует ли и как использовать эту информацию.
Мы хотим защитить конфиденциальность пользователя, отправляя этот заголовок только по запросам, если разработчик приложения явно соглашается поделиться этим со службами, встроенными в WebView. Чтобы добиться этого и позволить текущим онлайн-сервисам, которые зависят от этого заголовка, отказаться от его использования, мы запустим пробную версию Deprecation Origin Trial , удалив заголовок для общего трафика. Параллельно мы будем разрабатывать новые API-интерфейсы, сохраняющие конфиденциальность (например, API-интерфейсы аттестации клиентов), чтобы соответствовать сценариям использования, в которых сегодня используется заголовок X-Requested-With.
Подробнее о том, почему мы вносим это изменение и как оно работает, можно прочитать в блоге разработчиков Android в разделе Улучшение конфиденциальности пользователей путем требования согласия на отправку заголовка X-Requested-With из WebView .