Sicurezza di Firefox: rel = noopener per target = _blank
Sicurezza di Firefox: rel = noopener per target = _blank
Mozilla sta attualmente testando una nuova funzionalità di sicurezza in Firefox Nightly che aggiunge automaticamente rel = “noopener” ai collegamenti che utilizzano target = “_ blank”.
Target = “_ blank” indica ai browser di aprire automaticamente la destinazione del collegamento in una nuova scheda nel browser web; senza l’attributo target, i collegamenti si aprirebbero nella stessa scheda a meno che gli utenti non utilizzino la funzionalità del browser incorporata, ad es. tenendo premuto Ctrl o Maiusc, per aprire il collegamento in un modo diverso.
Rel = “noopener è supportato da tutti i principali browser Web. L’attributo assicura che window-opener sia nullo nei browser moderni. Null significa che non contiene alcun valore.
Se rel = “noopener” non è specificato, le risorse collegate hanno il controllo completo sull’oggetto finestra di origine anche se le risorse si trovano su origini diverse. Il collegamento di destinazione potrebbe manipolare il documento di origine, ad es. sostituirlo con un sosia per il phishing, visualizzare pubblicità su di esso o manipolarlo in qualsiasi altro modo immaginabile.
Puoi controllare una pagina demo su rel = “noopener” abuse Qui. È innocuo ma evidenzia come i siti di destinazione possono alterare il sito di origine se l’attributo non viene utilizzato.
Rel = “noopener” protegge il documento di origine. I webmaster possono – e dovrebbero – specificare rel = “noopener” ogni volta che usano target = “_ blank”; usiamo già l’attributo su tutti i link esterni qui su questo sito.
Apple ha implementato una modifica in Safari in ottobre che applica automaticamente rel = noopener a qualsiasi collegamento che utilizza target = _blank.
La versione Nightly di Firefox ora supporta anche la funzione di sicurezza. Mozilla vuole raccogliere dati per assicurarsi che il cambiamento non interrompa nulla di grave su Internet.
La preferenza dom.targetBlankNoOpener.enable controlla la funzionalità. È disponibile solo in Firefox 65 e impostato su true per impostazione predefinita (il che significa che viene aggiunto rel = “_ noopener”).
Gli utenti di Firefox possono modificare la preferenza per disattivare la funzione. Sebbene non sia consigliato a causa delle implicazioni sulla sicurezza, potresti farlo se riscontri problemi di compatibilità.
- Carica about: config? Filter = dom.targetBlankNoOpener.enable nella barra degli indirizzi del browser.
- Conferma che starai attento se viene visualizzato il messaggio di avviso.
- Fare doppio clic sulla preferenza.
Un valore true significa che rel = “noopener” viene aggiunto ai collegamenti con target = “_ blank”, un valore false che non lo è.
Mozilla punta a Firefox 65 per la versione stabile. Le cose potrebbero subire ritardi a seconda dei problemi che possono essere segnalati o notati. Firefox 65 verrà rilasciato il 29 gennaio 2019. (attraverso Sören Hentzschel)
