Защита на Firefox: rel = noopener за target = _blank

Mozilla тества нова функция за защита в Firefox Nightly в момента, която добавя rel = 'noopener' автоматично към връзки, които използват target = '_ blank'.

Target = '_ blank' инструктира браузърите да отворят целта на връзката в нов раздел в уеб браузъра автоматично; без целевия атрибут, връзките ще се отварят в същия раздел, освен ако потребителите не използват вградена функционалност на браузъра, напр. като задържите Ctrl или Shift, за да отворите връзката по различен начин.

Rel = 'noopener се поддържа от всички основни уеб браузъри. Атрибутът гарантира, че отварящият се прозорец е нулев в съвременните браузъри. Null означава, че не съдържа стойност.

Ако rel = 'noopener' не е посочен, свързаните ресурси имат пълен контрол върху първоначалния обект на прозореца, дори ако ресурсите са с различен произход. Дестинационната връзка може да манипулира първоначалния документ, напр. заменете го с lookalike за фишинг, покажете реклама на него или го манипулирайте по друг възможен начин.

Можете да проверите демонстрационна страница относно злоупотребата с rel = 'noopener' тук , Безобидно е, но подчертава как местоназначенията могат да променят първоначалния сайт, ако атрибутът не се използва.

ghacks rel noopener

Rel = 'noopener' защитава първоначалния документ. Уеб администраторите могат - и трябва - да определят rel = 'noopener' винаги, когато използват target = '_ blank'; ние вече използваме атрибута във всички външни връзки тук на този сайт.

Apple внесе промяна в Safari през октомври, която автоматично прилага rel = noopener към всяка връзка, която използва target = _blank.

Нощната версия на Firefox поддържа функцията за защита както сега. Mozilla иска да събира данни, за да се увери, че промяната не нарушава нещо основно в Интернет.

Предпочитанието dom.targetBlankNoOpener.enable контролира функционалността. Той е достъпен само в Firefox 65 и е зададен на true по подразбиране (което означава, че rel = '_ noopener' е добавен).

dom.targetBlankNoOpener.enable

Потребителите на Firefox могат да променят предпочитанието за изключване на функцията. Въпреки че не се препоръчва поради последиците за сигурността, може да искате да го направите, ако срещнете проблеми със съвместимостта.

  1. Заредете около: config? Filter = dom.targetBlankNoOpener.enable в адресната лента на браузъра.
  2. Потвърдете, че ще бъдете внимателни, ако се покаже предупредителното съобщение.
  3. Кликнете два пъти върху предпочитанието.

Стойност на true означава, че rel = 'noopener' е добавен към връзки с target = '_ blank', стойност на false, че не е.

Mozilla насочва Firefox 65 за стабилната версия. Нещата могат да се забавят в зависимост от проблемите, които могат да бъдат докладвани или забелязани. Firefox 65 ще излезе на 29 януари 2019 г. , (чрез Сорен Хенцшел )