Firefox-sikkerhed: rel = noopener for target = _blank

Mozilla tester i øjeblikket en ny sikkerhedsfunktion i Firefox Nightly, der automatisk tilføjer rel = 'noopener' til links, der bruger target = '_ blank'.

Target = '_ blank' instruerer browsere om automatisk at åbne linkmålet i en ny fane i webbrowseren; uden målattributten åbnes links i den samme fane, medmindre brugere bruger indbygget browserfunktionalitet, f.eks. ved at holde Ctrl eller Shift nede for at åbne linket på en anden måde.

Rel = 'noopener understøttes af alle større webbrowsere. Attributten sørger for, at vindueåbner er nul i moderne browsere. Nul betyder, at den ikke indeholder nogen værdi.

Hvis rel = 'noopener' ikke er specificeret, har tilknyttede ressourcer fuld kontrol over det oprindelige vindueobjekt, selvom ressourcerne har forskellige oprindelser. Destinationslinket kan manipulere det originale dokument, f.eks. udskift det med en lookalike til phishing, vis reklame på den eller manipulere den på enhver anden tænkelig måde.

Du kan tjekke en demoside for rel = 'noopener' misbrug her . Det er ufarligt, men fremhæver, hvordan destinationswebsteder kan ændre det oprindelige sted, hvis attributten ikke bruges.

ghacks rel noopener

Rel = 'noopener' beskytter det oprindelige dokument. Webmastere kan - og bør - specificere rel = 'noopener', når de bruger target = '_ blank'; vi bruger attributten på alle eksterne links her på dette websted allerede.

Apple implementerede en ændring i Safari i oktober, der automatisk bruger rel = noopener på ethvert link, der bruger target = _blank.

Den natlige version af Firefox understøtter også sikkerhedsfunktionen nu. Mozilla ønsker at indsamle data for at sikre, at ændringen ikke bryder noget større på Internettet.

Præferencer dom.targetBlankNoOpener.enable styrer funktionaliteten. Den er kun tilgængelig i Firefox 65 og er indstillet til true som standard (hvilket betyder, at rel = '_ noopener' tilføjes).

dom.targetBlankNoOpener.enable

Firefox-brugere kan muligvis ændre præference for at slå funktionen fra. Selvom det ikke anbefales på grund af sikkerhedsmæssige implikationer, kan du måske gøre det, hvis du har problemer med kompatibilitet.

  1. Indlæs om: config? Filter = dom.targetBlankNoOpener.enable i browserens adresselinje.
  2. Bekræft, at du er forsigtig, hvis advarselsprompt vises.
  3. Dobbeltklik på indstillingen.

En sand værdi betyder, at rel = 'noopener' tilføjes til links med target = '_ blank', en falsk værdi, som den ikke er.

Mozilla er målrettet mod Firefox 65 til Stable-udgivelsen. Ting kan blive forsinket afhængigt af problemer, der kan rapporteres eller bemærkes. Firefox 65 frigives den 29. januar 2019 . (via Sören Hentzschel )