Ссылки с target="_blank"
на них уязвимы к тому, что страница реферера будет заменена в фоновом режиме, в то время как внимание пользователя отвлекается на вновь открытой вкладке. Это известно как обратная табуляция :
Ссылающаяся страница хранится на window.opener
, и вредоносный сайт может изменить это посредством:
if (window.opener) {
window.opener.location = "https://phish.example.com";
}
Добавление rel="noopener noreferrer"
исправляет эту уязвимость во всех основных браузерах.
Обратите внимание, что теоретически вы можете удалить rel
клиентскую часть с помощью манипуляций ... но зачем вам это нужно? Все, что вы делаете, - это сознательно становитесь уязвимыми для атаки.
Другие пользователи, которые посещают тот же веб-сайт (и не изменяют свой собственный код на стороне клиента), по-прежнему будут в безопасности, поскольку сервер по-прежнему будет обслуживать файлы rel="noopener noreferrer"
. Ваше удаление относится только к вам.