Mozilla tester en ny sikkerhetsfunksjon i Firefox Nightly for øyeblikket som legger til rel = "noopener" automatisk til lenker som bruker target = "_ blank".
Target = "_ blank" instruerer nettlesere om å åpne koblingsmålet i en ny fane i nettleseren automatisk; uten målattributtet, vil lenker åpne i samme fane med mindre brukere bruker innebygd nettleserfunksjonalitet, for eksempel ved å holde nede Ctrl eller Shift, for å åpne lenken på en annen måte.
Rel = "noopener støttes av alle større nettlesere. Attributtet sørger for at vindusåpner er null i moderne nettlesere. Null betyr at den ikke inneholder noen verdi.
Hvis rel = "noopener" ikke er spesifisert, har koblede ressurser full kontroll over det opprinnelige vindusobjektet selv om ressursene har forskjellige opphav. Destinasjonslenken kan manipulere originaldokumentet, for eksempel erstatte det med en lookalike for phishing, vise reklame på det eller manipulere det på noen annen måte tenkelig.
Du kan sjekke ut en demoside på rel = "noopener" misbruk her. Det er ufarlig, men fremhever hvordan destinasjonssider kan endre det opprinnelige nettstedet hvis attributtet ikke brukes.
Rel = "noopener" beskytter originaldokumentet. Webmastere kan - og bør - spesifisere rel = "noopener" når de bruker target = "_ blank"; Vi bruker attributtet på alle eksterne lenker her på dette nettstedet.
Apple implementerte en endring i Safari i oktober som gjelder rel = noopener automatisk på en hvilken som helst lenke som bruker target = _blank.
Nightly-versjonen av Firefox støtter også sikkerhetsfunksjonen. Mozilla ønsker å samle inn data for å sikre at endringen ikke bryter noe større på Internett.
Preferansen dom.targetBlankNoOpener.enable styrer funksjonaliteten. Den er bare tilgjengelig i Firefox 65 og er satt til true som standard (som betyr at rel = "_ noopener" legges til).
Firefox-brukere kan endre preferansen for å slå av funksjonen. Selv om det ikke anbefales på grunn av sikkerhetsmessige implikasjoner, kan det være lurt å gjøre det hvis du får problemer med kompatibilitet.
- Last inn omtrent: config? Filter = dom.targetBlankNoOpener.enable i nettleserens adressefelt.
- Bekreft at du vil være forsiktig hvis advarselen vises.
- Dobbeltklikk på preferansen.
En verdi av sant betyr at rel = "noopener" legges til lenker med target = "_ blank", en falsk verdi som den ikke er.
Mozilla målretter Firefox 65 for Stable-utgivelsen. Ting kan bli forsinket avhengig av problemer som kan rapporteres eller legges merke til. Firefox 65 blir utgitt 29. januar 2019. (via Sören Hentzschel)
