2021年03月02日

新しいタブで開くリンクに「rel="noopener"」を付与する

応援クリックを1日1回宜しくお願いいたします。





サイトを作る側(ブログを書いたり、ホームページやSNSを運営する人)の話です。


ページAからページBへの新しいタブで開くリンク(「target="_blank"」)があるとき、

リンク(<a>タグ)に「rel="noopener"」がない場合

ページBの作成者の意図により、ページAをJavaScriptで操作できます。



ページAをJavaScriptで操作する、というのは様々な誘導が可能で、例えば

見ていたページA(SNS)のログイン画面にそっくりな偽サイトに(ページBを表示している間に)こっそり遷移していて、その偽サイトでログインのID・パスワードを入力させようとします。

見ていた人からすると「一定時間操作がなかったため、もう一度ログインして下さいのやつかな」で偽サイトにID・パスワードを入力する可能性があります。(セッションのタイムアウト等)

もちろん、偽サイトの作成者は加害者(か意図せず加担した人)です。


ページBの作成者は加害者ですが、

ページAの作成者はページBにリンクを貼った被害者(か意図せず加害者に加担した)や
加害者の可能性もあります。

ページAの作成者が被害者の例として、


ページBがリンク切れになり、新たにドメインを取得した別の人(加害者)。

人気のあるページBが突如このようなJavaScriptを作動するようになる。


ページAもBも加害者の例として、

ページAがSNSやサロンの運営のサイトで、多くの人がログイン情報を登録していて、

運営の社内でログイン情報を入手できない社員がページBでログイン情報を入手するパターン等です。

(実際に上記のような事件があったかは不明です)



ページAが被害者(意図せず加害者に加担した)の場合は、

やはり<a>タグに「target="_blank" rel="noopener"」を付加することです。

「target="_blank"」でない場合は不要です。






posted by Line Segment at 18:00 | Comment(0) | 日記 | このブログの読者になる | 更新情報をチェックする