Безопасность Firefox: rel = noopener для target = _blank

• Категория: Fire Fox

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Mozilla в настоящее время тестирует новую функцию безопасности в Firefox Nightly, которая автоматически добавляет rel = 'noopener' к ссылкам, использующим target = '_ blank'.

Target = '_ blank' указывает браузерам автоматически открывать цель ссылки в новой вкладке веб-браузера; без целевого атрибута ссылки будут открываться на той же вкладке, если пользователи не используют встроенные функции браузера, например удерживая Ctrl или Shift, чтобы открыть ссылку другим способом.

Rel = 'noopener поддерживается всеми основными веб-браузерами. Атрибут гарантирует, что в современных браузерах средство для открытия окна имеет значение null. Null означает, что он не содержит значения.

Если rel = 'noopener' не указан, связанные ресурсы имеют полный контроль над исходным оконным объектом, даже если ресурсы находятся в разных источниках. Целевая ссылка может управлять исходным документом, например замените его на аналог для фишинга, разместите на нем рекламу или манипулируйте любым другим способом.

Вы можете проверить демонстрационную страницу о злоупотреблении rel = 'noopener' Вот , Это безвредно, но показывает, как целевые сайты могут изменить исходный сайт, если атрибут не используется.

Rel = 'noopener' защищает исходный документ. Веб-мастера могут - и должны - указывать rel = 'noopener' всякий раз, когда они используют target = '_ blank'; мы уже используем этот атрибут для всех внешних ссылок здесь, на этом сайте.

Apple внесла изменение в Safari в октябре, которое автоматически применяет rel = noopener к любой ссылке, использующей target = _blank.

Ночная версия Firefox теперь также поддерживает функцию безопасности. Mozilla хочет собирать данные, чтобы убедиться, что это изменение не нарушит ничего серьезного в Интернете.

Параметр dom.targetBlankNoOpener.enable управляет функциональностью. Он доступен только в Firefox 65 и по умолчанию имеет значение true (что означает, что добавлен rel = '_ noopener').

Пользователи Firefox могут изменить настройки, чтобы отключить эту функцию. Хотя это не рекомендуется из соображений безопасности, вы можете сделать это, если столкнетесь с проблемами совместимости.

1. Загрузите about: config? Filter = dom.targetBlankNoOpener.enable в адресную строку браузера.
2. Подтвердите, что вы будете осторожны, если отобразится предупреждение.
3. Дважды щелкните предпочтение.

Значение true означает, что rel = 'noopener' добавляется к ссылкам с target = '_ blank', а значение false - нет.

Mozilla нацелена на Firefox 65 для стабильной версии. Вещи могут задержаться в зависимости от проблем, о которых можно сообщить или заметить. Firefox 65 выйдет 29 января 2019 г. , (через Серен Хентцшель )