Mozilla v současné době testuje novou funkci zabezpečení ve Firefoxu Nightly, která automaticky přidá rel = "noopener" do odkazů, které používají target = "_ blank".
Target = "_ blank" dává prohlížečům pokyn k automatickému otevření cíle odkazu na nové kartě ve webovém prohlížeči; bez cílového atributu by se odkazy otevíraly na stejné kartě, pokud uživatelé nebudou používat vestavěnou funkci prohlížeče, např. přidržením kláves Ctrl nebo Shift k otevření odkazu jiným způsobem.
Rel = "noopener je podporován všemi hlavními webovými prohlížeči. Atribut zajišťuje, že otvírač oken je v moderních prohlížečích nulový. Null znamená, že neobsahuje žádnou hodnotu.
Pokud není zadáno rel = "noopener", propojené prostředky mají plnou kontrolu nad původním objektem okna, i když jsou zdroje jiného původu. Cílový odkaz by mohl manipulovat s původním dokumentem, např. Nahradit jej podobou pro phishing, zobrazovat reklamu na něm nebo jiným způsobem představitelným způsobem manipulovat.
Můžete se podívat na demonstrační stránku týkající se zneužití rel = "noopener" zde. Je to neškodné, ale zdůrazňuje, jak mohou cílové weby změnit původní web, pokud atribut není použit.
Rel = "noopener" chrání původní dokument. Webmasteři mohou - a měli by - specifikovat rel = "noopener" kdykoli používají target = "_ blank"; tento atribut již používáme na všech externích odkazech zde na tomto webu.
Apple implementoval v říjnu změnu Safari, která automaticky použije rel = noopener na jakýkoli odkaz, který používá target = _blank.
Noční verze prohlížeče Firefox nyní podporuje funkci zabezpečení. Mozilla chce sbírat data, aby se ujistil, že změna nenaruší nic zásadního na internetu.
Předvolba dom.targetBlankNoOpener.enable řídí funkčnost. Je k dispozici pouze ve Firefoxu 65 a ve výchozím nastavení je nastavena na true (což znamená, že je přidána rel = "_ noopener").
Uživatelé prohlížeče Firefox mohou tuto preferenci vypnout. Přestože to není doporučeno kvůli bezpečnostním důsledkům, můžete tak učinit, pokud narazíte na problémy s kompatibilitou.
- Načíst o: config? Filter = dom.targetBlankNoOpener.enable v adresním řádku prohlížeče.
- Pokud se zobrazí varovná výzva, potvrďte, že budete opatrní.
- Poklepejte na preferenci.
Hodnota true znamená, že rel = "noopener" je přidán do odkazů s target = "_ blank", což je hodnota false, že není.
Mozilla zacílí na Firefox 65 pro vydání Stable. Věci se mohou zpozdit v závislosti na problémech, které mohou být hlášeny nebo zaznamenány. Firefox 65 bude vydán 29. ledna 2019. (přes Sören Hentzschel)
