Mozilla sta attualmente testando una nuova funzionalità di sicurezza in Firefox Nightly che aggiunge automaticamente rel = "noopener" ai collegamenti che utilizzano target = "_ blank".
Target = "_ blank" indica ai browser di aprire automaticamente la destinazione del collegamento in una nuova scheda nel browser Web; senza l'attributo target, i collegamenti si apriranno nella stessa scheda a meno che gli utenti non utilizzino la funzionalità browser integrata, ad esempio tenendo premuto Ctrl o Maiusc, per aprire il collegamento in modo diverso.
Rel = "noopener è supportato da tutti i principali browser Web. L'attributo assicura che l'apri-finestra sia nullo nei browser moderni. Null significa che non contiene alcun valore.
Se rel = "noopener" non è specificato, le risorse collegate hanno il pieno controllo sull'oggetto finestra di origine anche se le risorse sono di origini diverse. Il collegamento di destinazione potrebbe manipolare il documento di origine, ad esempio sostituirlo con un sosia per phishing, visualizzare pubblicità su di esso o manipolarlo in qualsiasi altro modo immaginabile.
Puoi controllare una pagina dimostrativa sull'abuso di rel = "noopener" qui. È innocuo ma evidenzia come i siti di destinazione possono modificare il sito di origine se l'attributo non viene utilizzato.
Rel = "noopener" protegge il documento di origine. I webmaster possono - e dovrebbero - specificare rel = "noopener" ogni volta che usano target = "_ blank"; utilizziamo già l'attributo su tutti i link esterni qui su questo sito.
Apple ha implementato una modifica in Safari in ottobre che applica automaticamente rel = noopener a qualsiasi collegamento che utilizza target = _blank.
La versione notturna di Firefox supporta anche la funzione di sicurezza. Mozilla vuole raccogliere dati per assicurarsi che la modifica non rompa nulla di grave su Internet.
La preferenza dom.targetBlankNoOpener.enable controlla la funzionalità. È disponibile solo in Firefox 65 e impostato su true per impostazione predefinita (il che significa che viene aggiunto rel = "_ noopener").
Gli utenti di Firefox possono modificare le preferenze per disattivare la funzione. Sebbene non sia raccomandato a causa delle implicazioni di sicurezza, potresti voler farlo se riscontri problemi di compatibilità.
- Carica about: config? Filter = dom.targetBlankNoOpener.enable nella barra degli indirizzi del browser.
- Conferma di stare attento se viene visualizzato il messaggio di avviso.
- Fare doppio clic sulla preferenza.
Un valore true significa che rel = "noopener" viene aggiunto ai collegamenti con target = "_ blank", un valore false che non lo è.
Mozilla punta su Firefox 65 per la versione stabile. Le cose potrebbero subire ritardi a seconda dei problemi che potrebbero essere segnalati o notati. Firefox 65 sarà rilasciato il 29 gennaio 2019. (tramite Sören Hentzschel)
