protected-audience-api
fenced frameの中からeventレベルのレポートを送る方法があるが、fenced frameの中で異なるドメインのiframeを展開してその中でeventレベルレポートを送ることができないようになっている。しかしそのようなユースケースが一部のアドテクベンダーには存在するため(3PAS配信とか?)、対応できるようにするための仕様を追加している(詳しい議論)
fenced frameのrootのrequestに対してはAllow-Cross-Origin-Event-Reporting=trueをヘッダーとして返し、reportEvent呼び出し時に'crossOriginExposed': trueをオプションとして追加する。レポートの送信先はfenced frame config's mapped URLとされているが具体的にどうやって指定するかわからない
attribution-reporting-api
内部処理的な話なので特に仕様が変わったりはしないと思う。
randomized source responseはブラウザがランダムに値を変更してARAのサーバーに送るレポートの元になっていると思う。これをsetにしてしまうと、同じコンフィグレーションが複数存在し得るのに一つに統合されてしまう。
遷移先を登録する順番でユーザーのprivacy情報がleakするので、名前順にsortするようにしている