サイトを作る側(ブログを書いたり、ホームページやSNSを運営する人)の話です。
ページAからページBへの新しいタブで開くリンク(「target="_blank"」)があるとき、
リンク(<a>タグ)に「rel="noopener"」がない場合
ページBの作成者の意図により、ページAをJavaScriptで操作できます。
ページAをJavaScriptで操作する、というのは様々な誘導が可能で、例えば
見ていたページA(SNS)のログイン画面にそっくりな偽サイトに(ページBを表示している間に)こっそり遷移していて、その偽サイトでログインのID・パスワードを入力させようとします。
見ていた人からすると「一定時間操作がなかったため、もう一度ログインして下さいのやつかな」で偽サイトにID・パスワードを入力する可能性があります。(セッションのタイムアウト等)
もちろん、偽サイトの作成者は加害者(か意図せず加担した人)です。
ページBの作成者は加害者ですが、
ページAの作成者はページBにリンクを貼った被害者(か意図せず加害者に加担した)や
加害者の可能性もあります。
ページAの作成者が被害者の例として、
ページBがリンク切れになり、新たにドメインを取得した別の人(加害者)。
人気のあるページBが突如このようなJavaScriptを作動するようになる。
ページAもBも加害者の例として、
ページAがSNSやサロンの運営のサイトで、多くの人がログイン情報を登録していて、
運営の社内でログイン情報を入手できない社員がページBでログイン情報を入手するパターン等です。
(実際に上記のような事件があったかは不明です)
ページAが被害者(意図せず加害者に加担した)の場合は、
やはり<a>タグに「target="_blank" rel="noopener"」を付加することです。
「target="_blank"」でない場合は不要です。