Mozilla testar en ny säkerhetsfunktion i Firefox Nightly för närvarande som lägger till rel = "noopener" automatiskt till länkar som använder target = "_ blank".
Target = "_ blank" instruerar webbläsare att automatiskt öppna länkmålet i en ny flik i webbläsaren; utan målattributet skulle länkar öppnas i samma flik om inte användare använder den inbyggda webbläsarfunktionaliteten, t.ex. genom att hålla ner Ctrl eller Shift, för att öppna länken på ett annat sätt.
Rel = "noopener stöds av alla stora webbläsare. Attributet ser till att fönsteröppnare är noll i moderna webbläsare. Null betyder att det inte innehåller något värde.
Om rel = "noopener" inte anges har länkade resurser full kontroll över det ursprungliga fönsterobjektet även om resurserna har olika ursprung. Destinationslänken kan manipulera det ursprungliga dokumentet, t.ex. ersätta det med en lookalike för phishing, visa reklam på det eller manipulera det på något annat tänkbart sätt.
Du kan kolla in en demosida om rel = "noopener" missbruk här. Det är ofarligt men belyser hur destinationswebbplatser kan ändra den ursprungliga webbplatsen om attributet inte används.
Rel = "noopener" skyddar det ursprungliga dokumentet. Webbmästare kan - och borde - specificera rel = "noopener" när de använder target = "_ blank"; Vi använder redan attributet på alla externa länkar här på den här webbplatsen.
Apple implementerade en förändring i Safari i oktober som tillämpar rel = noopener automatiskt på alla länkar som använder target = _blank.
Nightly-versionen av Firefox stöder också säkerhetsfunktionen nu. Mozilla vill samla in data för att se till att förändringen inte bryter något större på Internet.
Inställningen dom.targetBlankNoOpener.enable styr funktionaliteten. Den är endast tillgänglig i Firefox 65 och är inställd på true som standard (vilket innebär att rel = "_ noopener" läggs till).
Firefox-användare kan ändra preferensen för att stänga av funktionen. Det rekommenderas inte på grund av säkerhetsimplikationerna, men du kan göra det om du stöter på kompatibilitetsproblem.
- Ladda om: config? Filter = dom.targetBlankNoOpener.enable i webbläsarens adressfält.
- Bekräfta att du är försiktig om varningsmeddelandet visas.
- Dubbelklicka på preferensen.
Ett värde av sant betyder att rel = "noopener" läggs till i länkar med target = "_ blank", ett felaktigt värde som det inte är.
Mozilla riktar sig mot Firefox 65 för Stable-utgåvan. Saker kan bli försenade beroende på problem som kan rapporteras eller märks. Firefox 65 kommer att släppas den 29 januari 2019. (via Sören Hentzschel)
