Я бачу, як люди рекомендують, щоб кожен раз, коли хтось використовує target="_blank"посилання, щоб відкрити його в іншому вікні, вони повинні помістити rel="noopener noreferrer". Цікаво, як це заважає мені використовувати Інструменти розробника в Chrome, наприклад, і видаляти атрибут rel. Потім клацніть на посилання ...
Це простий спосіб зберегти вразливість?
noopenerпринаймні, принаймні, але, як зазначено нижче, noreferrerнадлишковий): hacks.mozilla.org/2020/07/firefox-79
Відповіді:
Можливо, ви невірно розумієте вразливість. Детальніше про це ви можете прочитати тут: https://www.jitbit.com/alexblog/256-targetblank---the-most-underestimated-vulnerability-ever/
По суті, додавання rel="noopener noreferrer"до посилань захищає користувачів вашого сайту від того, щоб сайт, на який ви зв’язали, потенційно викрадав браузер (через неправдиву JS).
Ви запитуєте про видалення цього атрибуту за допомогою Інструментів розробника - це лише потенційно може піддати вас (особу, яка втручається в атрибут) вразливості.
noopener noreferrerє зайвим, оскільки noreferrerвключає в себе функціональність noopener. html.spec.whatwg.org/multipage/links.html#link-type-noreferrer
Посилання target="_blank"на них вразливі до того, що сторінка переходу буде замінена у фоновому режимі, тоді як увага користувача перенаправляється на щойно відкриту вкладку. Це називається зворотним перекладом :
Сторінка переходу зберігається в window.opener, і шкідливий веб-сайт може змінити це за допомогою:
if (window.opener) {
window.opener.location = "https://phish.example.com";
}
Додавання rel="noopener noreferrer"виправляє цю вразливість у всіх основних браузерах.
Зверніть увагу, що теоретично ви можете видалити rel клієнтську сторону шляхом маніпуляцій ... але чому ви цього хочете? Все, що ви робите, це навмисне зробити себе вразливим до нападу.
Інші користувачі, які відвідують той самий веб-сайт (і не змінюють власний код на стороні клієнта), все одно будуть у безпеці, оскільки сервер все одно обслуговуватиме rel="noopener noreferrer". Ваше видалення стосується лише вас.
Якірний тег rel=”noopener”або rel=”noreferrer”атрибути покращують безпеку веб-сайту, але деякі люди хочуть ігнорувати їх, оскільки вважають, що вони вплинуть на оптимізацію пошукової системи веб-сайту, але це лише міф. Це захищає конфіденційність аудиторії вашого веб-сайту та запобігає зовнішньому веб-сайту, поширюючи шкідливий код.
noreferrerбоку.
Якщо на консолі розробника відображається попередження щодо noopener noreferrer, обов’язково додайте і те, noopenerі інше noreferrer. посилання має бути приблизно таким, як показано нижче:
<a href="www.google.com" target="_blank" rel="noopener noreferrer" />