Mozilla testuje obecnie nową funkcję bezpieczeństwa w Firefoksie Nightly, która automatycznie dodaje rel = "noopener" do linków, które używają target = "_ blank".
Cel = „_ puste” instruuje przeglądarki, aby automatycznie otwierały cel łącza w nowej karcie w przeglądarce internetowej; bez atrybutu docelowego łącza otworzyłyby się na tej samej karcie, chyba że użytkownicy korzystają z wbudowanych funkcji przeglądarki, np. przytrzymując klawisz Ctrl lub Shift, aby otworzyć łącze w inny sposób.
Rel = "noopener jest obsługiwany przez wszystkie popularne przeglądarki internetowe. Ten atrybut zapewnia, że otwieracz okien jest pusty w nowoczesnych przeglądarkach. Null oznacza, że nie zawiera żadnej wartości.
Jeśli parametr rel = "noopener" nie jest określony, połączone zasoby mają pełną kontrolę nad początkowym obiektem okna, nawet jeśli zasoby mają różne źródła. Łącze docelowe może manipulować dokumentem źródłowym, np. Zastąpić go podobnym do phishingu, wyświetlać na nim reklamy lub manipulować nim w inny możliwy sposób.
Możesz sprawdzić stronę demonstracyjną dotyczącą nadużyć rel = "noopener" tutaj. Jest nieszkodliwy, ale podkreśla, w jaki sposób witryny docelowe mogą zmienić witrynę źródłową, jeśli atrybut nie zostanie użyty.
Rel = „noopener” chroni dokument źródłowy. Webmasterzy mogą - i powinni - określić rel = "noopener", ilekroć używają target = "_ blank"; używamy tego atrybutu we wszystkich zewnętrznych linkach tutaj na tej stronie.
W październiku Apple wdrożyło zmianę w Safari, która automatycznie stosuje rel = noopener do każdego linku, który używa target = _blank.
Wersja Nightly Firefoksa obsługuje teraz także funkcję bezpieczeństwa. Mozilla chce gromadzić dane, aby upewnić się, że zmiana nie spowoduje poważnego uszkodzenia w Internecie.
Preferencja dom.targetBlankNoOpener.enable kontroluje funkcjonalność. Jest dostępny tylko w przeglądarce Firefox 65 i domyślnie ustawiony jest na true (co oznacza, że dodano rel = "_ noopener").
Użytkownicy przeglądarki Firefox mogą zmienić preferencje dotyczące wyłączenia tej funkcji. Chociaż nie jest to zalecane ze względu na wpływ na bezpieczeństwo, możesz to zrobić, jeśli wystąpią problemy ze zgodnością.
- Załaduj about: config? Filter = dom.targetBlankNoOpener.enable w pasku adresu przeglądarki.
- Potwierdź, że będziesz ostrożny, jeśli wyświetli się monit ostrzegawczy.
- Kliknij dwukrotnie preferencję.
Wartość true oznacza, że rel = "noopener" jest dodawany do linków z celem = "_ blank", wartość false, że nie jest.
Mozilla atakuje Firefoksa 65 w wersji stabilnej. Sprawy mogą się opóźniać w zależności od problemów, które mogą zostać zgłoszone lub zauważone. Firefox 65 zostanie wydany 29 stycznia 2019 r. (Przez Sören Hentzschel)
