Безопасность Firefox: rel = noopener для target = _blank

Mozilla в настоящее время тестирует новую функцию безопасности в Firefox Nightly, которая автоматически добавляет rel = «noopener» к ссылкам, использующим target = «_ blank».

Target = «_ blank» указывает браузерам автоматически открывать цель ссылки на новой вкладке в веб-браузере; без целевого атрибута ссылки будут открываться на той же вкладке, если пользователи не используют встроенные функции браузера, например удерживая Ctrl или Shift, чтобы открыть ссылку другим способом.

Rel = «noopener поддерживается всеми основными веб-браузерами. Атрибут гарантирует, что средство для открытия окна имеет значение NULL в современных браузерах. Null означает, что он не содержит значения.

Если rel = «noopener» не указан, связанные ресурсы имеют полный контроль над исходным оконным объектом, даже если ресурсы находятся в разных источниках. Целевая ссылка может управлять исходным документом, например замените его на аналог для фишинга, разместите на нем рекламу или манипулируйте любым другим способом.

Вы можете проверить демонстрационную страницу о злоупотреблении rel = «noopener» Вот. Это безвредно, но показывает, как целевые сайты могут изменить исходный сайт, если атрибут не используется.

ghacks rel noopener

Rel = «noopener» защищает исходный документ. Веб-мастера могут и должны указывать rel = «noopener» всякий раз, когда они используют target = «_ blank»; мы уже используем этот атрибут для всех внешних ссылок здесь, на этом сайте.

Apple внесла изменение в Safari в октябре, которое автоматически применяет rel = noopener к любой ссылке, использующей target = _blank.

Ночная версия Firefox теперь также поддерживает функцию безопасности. Mozilla хочет собрать данные, чтобы убедиться, что это изменение не нарушит ничего серьезного в Интернете.

Параметр dom.targetBlankNoOpener.enable управляет функциональностью. Он доступен только в Firefox 65 и по умолчанию имеет значение true (что означает добавление rel = «_ noopener»).

dom.targetBlankNoOpener.enable

Пользователи Firefox могут изменить настройки, чтобы отключить эту функцию. Хотя это не рекомендуется из соображений безопасности, вы можете сделать это, если столкнетесь с проблемами совместимости.

  1. Загрузите about: config? Filter = dom.targetBlankNoOpener.enable в адресную строку браузера.
  2. Подтвердите, что вы будете осторожны, если появится предупреждение.
  3. Дважды щелкните настройку.

Значение true означает, что rel = «noopener» добавляется к ссылкам с target = «_ blank», а значение false — нет.

Mozilla нацелена на Firefox 65 для стабильной версии. Вещи могут задержаться в зависимости от проблем, о которых можно сообщить или заметить. Firefox 65 будет выпущен 29 января 2019 г.. (через Серен Хенцшель)