Rubriky: Firefox

Firefox přidá k odkazům s target=“_blank“ také rel=“noopener“

Firefox v lednu od verze 65 přidá ke všem odkazům s target=“_blank“, který zaručuje otevření v novém panelu, také rel=“noopener“, který zamezuje novému panelu v přístupu k původní stránce.

target=“_blank“ se velmi často používá pro otevírání externích odkazů na „cizí“ stránky. Ne každý ale ví, že JavaScript v nově otevřeném panelu má ve výchozím stavu přístup k původní stránce skrze window.opener. To umožňuje jakoukoliv manipulaci, včetně změny obsahu a phishingu.

Jako ochranu je možné použít atribut rel=“noopener“, který zajistí, že window.opener zůstane prázdný. Firefox 65 tento atribut začne automaticky přidávat ke všem odkazům, které mají target=“_blank“, jako to dělá např. Safari od srpna tohoto roku. Firefox tím jednak zabrání nechtěnému přístupu ke stránkám, ale také to pomůže s implementací Site Isolation.