Securitate Firefox: rel = noopener pentru target = _blank

Mozilla testează o nouă caracteristică de securitate în Firefox Nightly în prezent, care adaugă automat rel = "noopener" la legăturile care folosesc target = "_ blank".

Target = "_ blank" recomandă browserelor să deschidă automat ținta linkului într-o nouă filă din browserul web; fără atributul țintă, linkurile s-ar deschide în aceeași filă, cu excepția cazului în care utilizatorii utilizează funcționalitatea browserului încorporat, de exemplu, ținând apăsat butonul Ctrl sau Shift, pentru a deschide linkul într-un mod diferit.

Rel = "noopener este acceptat de toate browserele web majore. Atributul se asigură că deschizătorul de ferestre este nul în browserele moderne. Null înseamnă că nu conține nicio valoare.

Dacă rel = "noopener" nu este specificat, resursele legate au control deplin asupra obiectului de fereastră originar, chiar dacă resursele sunt la origini diferite. Linkul de destinație ar putea manipula documentul originar, de exemplu, înlocuiți-l cu un aspect similar pentru phishing, afișează reclama pe el sau îl poate manipula în orice alt mod imaginabil.

Puteți consulta o pagină demonstrativă pentru abuzul rel = "noopener" aici. Este inofensiv, dar evidențiază modul în care site-urile de destinație pot modifica site-ul originar dacă atributul nu este utilizat.

Rel = "noopener" protejează documentul originar. Webmasterii pot - și ar trebui - să specifice - rel = "noopener" ori de câte ori folosesc target = "_ blank"; folosim deja atributul pe toate linkurile externe de aici pe acest site.

Apple a implementat o modificare în Safari în octombrie, care se aplică rel = noopener automat oricărui link care folosește target = _blank.

Versiunea nocturnă a Firefox acceptă și funcția de securitate acum. Mozilla dorește să colecteze date pentru a se asigura că schimbarea nu va sparge nimic major pe Internet.

Preferința dom.targetBlankNoOpener.enable controlează funcționalitatea. Este disponibil doar în Firefox 65 și setat pe true în mod implicit (ceea ce înseamnă că rel = "_ noopener" este adăugat).

Utilizatorii Firefox pot schimba preferința pentru a opri funcția. Deși nu este recomandat din cauza implicațiilor de securitate, poate doriți să faceți acest lucru dacă aveți probleme de compatibilitate.

  1. Se încarcă: config? Filter = dom.targetBlankNoOpener.enable în bara de adrese a browserului.
  2. Confirmați că veți fi atenți dacă este afișat promptul de avertizare.
  3. Faceți dublu clic pe preferință.

O valoare a adevăratului înseamnă că rel = "noopener" este adăugat la legăturile cu target = "_ blank", o valoare falsă care nu este.

Mozilla vizează Firefox 65 pentru versiunea Stable. Lucrurile pot întârzia în funcție de problemele care pot fi raportate sau observate. Firefox 65 va fi lansat pe 29 ianuarie 2019. (prin Sören Hentzschel)