11.2.2. Tracking Using Request Object URI (利用请求对象 URI 进行跟踪)

即使受保护资源不包含个人身份信息, 若使用持久的静态每用户 Request Object URI, 有时仍可通过 Request Object URI 识别用户. 第三方可能通过浏览器历史等观察到该 URI 并开始据此关联用户活动. 这在某种程度上也属于数据披露, 应避免.

因此应避免每用户持久的 Request Object URI. 一次性 Request Object URI 是一种替代方案.