Firefox varnost: rel = noopener za target = _blank

Mozilla testira novo varnostno funkcijo v Firefox Nightlyju, ki samodejno doda rel = "noopener" povezavam, ki uporabljajo target = "_ blank".

Target = "_ prazno" naroči brskalnikom, da samodejno odprejo cilj povezave na novem zavihku v spletnem brskalniku; brez ciljnega atributa bi se povezave odprle na istem zavihku, razen če uporabniki uporabljajo vgrajeno funkcijo brskalnika, na primer s pritiskom na Ctrl ali Shift, da povezavo odprejo na drug način.

Rel = "noopener podpirajo vsi večji spletni brskalniki. Atribut zagotavlja, da je odpiranje oken v sodobnih brskalnikih nično. Null pomeni, da ne vsebuje nobene vrednosti.

Če rel = "noopener" ni določen, imajo povezani viri popoln nadzor nad izvornim objektom okna, tudi če so viri različnih virov. Namenska povezava lahko manipulira z izvirnim dokumentom, npr. Zamenja ga z lookalike za lažno predstavljanje, prikaže oglas na njem ali z njim manipulira na kakršen koli drug način.

Tu lahko pogledate predstavitveno stran o zlorabi rel = "noopener" tukaj. Neškodljivo je, vendar poudarja, kako lahko ciljna mesta spremenijo izvorno spletno mesto, če atribut ni uporabljen.

Rel = "noopener" ščiti izvorni dokument. Spletni skrbniki lahko - in bi morali - določiti rel = "noopener" vsakič, ko uporabljajo target = "_ blank"; atribut že uporabljamo na vseh zunanjih povezavah na tem spletnem mestu.

Apple je oktobra uvedel spremembo v Safariju, ki samodejno uporabi rel = noopener za katero koli povezavo, ki uporablja target = _blank.

Nočna različica Firefoxa podpira tudi varnostno funkcijo. Mozilla želi zbrati podatke in se prepričati, da sprememba ne bo prekinila ničesar večjega na internetu.

Nastavitev dom.targetBlankNoOpener.enable nadzoruje funkcionalnost. Na voljo je samo v Firefoxu 65 in je privzeto nastavljeno na true (kar pomeni, da je dodan rel = "_ noopener").

Uporabniki Firefoxa lahko spremenijo nastavitev za izklop te funkcije. Čeprav to zaradi varnostnih posledic ni priporočljivo, boste morda želeli, če naletite na težave z združljivostjo.

  1. V naslovno vrstico brskalnika naložite približno: config? Filter = dom.targetBlankNoOpener.enable.
  2. Prepričajte se, da boste previdni, če se prikaže opozorilni poziv.
  3. Dvokliknite nastavitev.

Vrednost true pomeni, da je rel = "noopener" dodan povezavam s target = "_ blank", vrednost false, da ni.

Mozilla cilja Firefox 65 za stabilno izdajo. Stvari se lahko zavlečejo, odvisno od težav, o katerih se lahko poroča ali opazi. Firefox 65 bo izšel 29. januarja 2019. (prek Sörena Hentzschel)