Mozilla testet derzeit eine neue Sicherheitsfunktion in Firefox Nightly, die rel = "noopener" automatisch zu Links hinzufügt, die target = "_ blank" verwenden.
Target = "_ blank" weist den Browser an, das Linkziel in einem neuen Tab im Webbrowser automatisch zu öffnen. Ohne das Zielattribut werden Links auf derselben Registerkarte geöffnet, es sei denn, Benutzer verwenden die integrierten Browserfunktionen, z. B. durch Gedrückthalten von Strg oder Umschalt, um den Link auf andere Weise zu öffnen.
Rel = "noopener wird von allen gängigen Webbrowsern unterstützt. Das Attribut stellt sicher, dass der Fensteröffner in modernen Browsern null ist. Null bedeutet, dass er keinen Wert enthält.
Wenn rel = "noopener" nicht angegeben wird, haben verknüpfte Ressourcen die volle Kontrolle über das Ursprungsfensterobjekt, selbst wenn die Ressourcen unterschiedlichen Ursprungs sind. Der Ziellink könnte das ursprüngliche Dokument manipulieren, z. B. durch ein Phishing-ähnliches ersetzen, Werbung darauf anzeigen oder auf eine andere vorstellbare Weise manipulieren.
Sie können sich hier eine Demo-Seite zu rel = "noopener" abuse ansehen. Es ist harmlos, hebt jedoch hervor, wie Zielstandorte den Ursprungsstandort ändern können, wenn das Attribut nicht verwendet wird.
Rel = "noopener" schützt das Ursprungsdokument. Webmaster können - und sollten - immer rel = "noopener" angeben, wenn sie target = "_ blank" verwenden. Das Attribut wird bei allen externen Links hier auf dieser Site bereits verwendet.
Apple hat im Oktober eine Änderung in Safari implementiert, die rel = noopener automatisch auf alle Links anwendet, die target = _blank verwenden.
Die Nightly-Version von Firefox unterstützt jetzt auch die Sicherheitsfunktion. Mozilla möchte Daten sammeln, um sicherzustellen, dass durch die Änderung keine größeren Probleme im Internet verursacht werden.
Die Einstellung dom.targetBlankNoOpener.enable steuert die Funktionalität. Es ist nur in Firefox 65 verfügbar und standardmäßig auf true gesetzt (was bedeutet, dass rel = "_ noopener" hinzugefügt wird).
Firefox-Benutzer können die Einstellung ändern, um die Funktion zu deaktivieren. Obwohl dies aus Sicherheitsgründen nicht empfohlen wird, können Sie dies tun, wenn Kompatibilitätsprobleme auftreten.
- Laden Sie ungefähr: config? Filter = dom.targetBlankNoOpener.enable in die Adressleiste des Browsers.
- Bestätigen Sie, dass Sie vorsichtig sein werden, wenn die Warnmeldung angezeigt wird.
- Doppelklicken Sie auf die Voreinstellung.
Ein Wert von true bedeutet, dass rel = "noopener" zu Links mit target = "_ blank" hinzugefügt wird. Ein Wert von false ist dies nicht.
Mozilla zielt auf Firefox 65 für die Veröffentlichung von Stable ab. Abhängig von Problemen, die gemeldet oder bemerkt werden, kann es zu Verzögerungen kommen. Firefox 65 erscheint am 29. Januar 2019. (via Sören Hentzschel)
