Cải thiện quyền riêng tư của người dùng bằng cách yêu cầu chọn gửi tiêu đề X-Request-With từ WebView

Peter Birk Pakkenberg

Khi người dùng cài đặt và chạy một ứng dụng sử dụng WebView để nhúng nội dung web, WebView sẽ thêm tiêu đề X-Requested-With vào mọi yêu cầu gửi đến máy chủ, với giá trị là tên APK của ứng dụng. Sau đó, máy chủ web nhận sẽ xác định xem có sử dụng thông tin này hay không và cách sử dụng.

Chúng tôi muốn bảo vệ quyền riêng tư của người dùng bằng cách chỉ gửi tiêu đề này theo yêu cầu nếu nhà phát triển ứng dụng chọn chia sẻ một cách rõ ràng với các dịch vụ được nhúng trong WebView. Để đạt được điều này và cho phép các dịch vụ trực tuyến hiện tại phụ thuộc vào tiêu đề này ngừng sử dụng tiêu đề này, chúng tôi sẽ chạy một Bản dùng thử nguồn gốc không dùng nữa, đồng thời xoá tiêu đề này cho lưu lượng truy cập chung. Đồng thời, chúng tôi sẽ phát triển các API mới đảm bảo quyền riêng tư (chẳng hạn như API chứng thực ứng dụng) để phù hợp với các trường hợp sử dụng mà tiêu đề X-Requested-With đang được sử dụng hiện nay.

Bạn có thể đọc thêm về lý do chúng tôi thực hiện thay đổi này và cách hoạt động của thay đổi này trên Blog dành cho nhà phát triển Android trong bài viết Cải thiện quyền riêng tư của người dùng bằng cách yêu cầu chọn gửi tiêu đề X-Requested-With từ WebView.