Firefox-tietoturva: rel = noopener for target = _blank

Mozilla testaa uutta tietoturvaominaisuutta Firefox Nightly -palvelussa, joka lisää rel = 'noopener' automaattisesti linkkeihin, jotka käyttävät tavoitetta = '_ tyhjä'.

Kohde = '_ tyhjä' kehottaa selaimia avaamaan linkkikohteen automaattisesti uudessa välilehdessä selaimessa; ilman kohdeattribuuttia, linkit avautuvat samassa välilehdessä, elleivät käyttäjät käytä sisäänrakennettua selaimen toimintoa, esim. pitämällä Ctrl tai Shift painettuna, avaa linkki toisella tavalla.

Kaikki suuret selaimet tukevat Rel = 'noopeneria. Ominaisuus varmistaa, että ikkuna-avaaja ei ole nykyaikaisissa selaimissa. Null tarkoittaa, että se ei sisällä arvoa.

Jos rel = 'noopener': tä ei ole määritetty, linkitetyillä resursseilla on täysi määräys alkuperäisestä ikkunaobjektista, vaikka resurssit ovat eri lähteistä. Kohdelinkki voisi manipuloida alkuperäistä asiakirjaa, esimerkiksi korvata se tyylikäs tietojenkalastelua varten, näyttää siinä mainos tai manipuloida sitä muulla mahdollisella tavalla.

Voit tarkistaa esittelysivun rel = 'noopener'-väärinkäytöstä tässä . Se on vaaraton, mutta korostaa, kuinka kohde-sivustot voivat muuttaa lähtöpaikkaa, jos attribuuttia ei käytetä.

ghacks rel noopener

Rel = 'noopener' suojaa alkuperäistä asiakirjaa. Verkkovastaavat voivat - ja heidän pitäisi määritellä rel = 'noopener' aina, kun he käyttävät target = '_ tyhjää'; käytämme ominaisuutta jo kaikilla tämän sivuston ulkoisilla linkkeillä.

Apple toteutti lokakuussa Safarissa muutoksen, joka koskee rel = noopener-sovellusta automaattisesti mihin tahansa linkkiin, joka käyttää target = _blank-linkkiä.

Firefoxin yöversio tukee nyt myös suojausominaisuutta. Mozilla haluaa kerätä tietoja varmistaakseen, että muutos ei riko mitään merkittävää Internetissä.

Asetus dom.targetBlankNoOpener.enable ohjaa toimintoja. Se on saatavana vain Firefox 65: ssä ja asetettu oletukseksi totta (mikä tarkoittaa, että rel = '_ noopener' lisätään).

dom.targetBlankNoOpener.enable

Firefox-käyttäjät voivat muuttaa ominaisuutta kytkeäksesi toiminnon pois päältä. Vaikka sitä ei suositella tietoturvaongelmien takia, kannattaa ehkä tehdä niin, jos joudut yhteensopivuusongelmiin.

  1. Lataa noin: config? Filter = dom.targetBlankNoOpener.enable selaimen osoiteriville.
  2. Varmista, että olet varovainen, jos varoituskehote tulee näkyviin.
  3. Kaksoisnapsauta asetusta.

Tosi arvo tarkoittaa, että rel = 'noopener' lisätään linkkeihin, joiden tavoite = '_ tyhjä', väärän arvon, että se ei ole.

Mozilla kohdistaa Firefox 65: n Stable-julkaisuun. Asiat voivat viivästyä riippuen ongelmista, joista voidaan ilmoittaa tai huomata. Firefox 65 julkaistaan ​​29. tammikuuta 2019 . (kautta Sören Hentzschel )