Firefox安全性:rel = noopener为target = _blank

尝试消除问题的工具

Mozilla目前正在Firefox Nightly中测试一项新的安全功能,该功能将rel ='noopener'自动添加到使用target ='_ blank'的链接中。

Target ='_ blank'指示浏览器在网络浏览器的新选项卡中自动打开链接目标;如果没有目标属性,则除非用户使用内置的浏览器功能(例如,按住Ctrl或Shift,以其他方式打开链接。

所有主要的Web浏览器都支持Rel ='noopener。该属性确保在现代浏览器中window-opener为null。 Null表示它不包含任何值。

如果未指定rel ='noopener',则即使资源位于不同的来源,链接的资源也可以完全控制原始窗口对象。目标链接可以操纵原始文档,例如将其替换为类似的网络钓鱼,在其上显示广告或以其他任何可想象的方式对其进行操纵。

您可以查看有关rel ='noopener'滥用的演示页面 这里 。它是无害的,但突出显示了如果不使用该属性,目标站点可能如何更改原始站点。

ghacks rel noopener

Rel ='noopener'保护原始文档。网站管理员可以-并且应该-每当使用target ='_ blank'时都指定rel ='noopener';我们已经在此站点上的所有外部链接上使用了该属性。

苹果在十月的Safari中实施了一项更改,该更改将rel = noopener自动应用于使用target = _blank的任何链接。

每晚版本的Firefox现在也支持安全功能。 Mozilla希望收集数据以确保所做的更改不会破坏Internet上的任何重大事件。

首选项dom.targetBlankNoOpener.enable控制功能。它仅在Firefox 65中可用,并且默认情况下设置为true(这意味着添加了rel ='_ noopener')。

dom.targetBlankNoOpener.enable

Firefox用户可以更改首选项以关闭该功能。尽管不建议这样做,因为存在安全性问题,但是如果遇到兼容性问题,则可能要这样做。

  1. 在浏览器的地址栏中加载about:config?filter = dom.targetBlankNoOpener.enable。
  2. 确认如果显示警告提示,请小心。
  3. 双击首选项。

值为true表示将rel ='noopener'添加到具有target ='_ blank'的链接中,值为false表示不是。

Mozilla将Firefox 65定位为稳定版。事情可能会延迟,具体取决于可能报告或注意到的问题。 Firefox 65将于2019年1月29日发布 。 (通过 索伦·亨茨切尔