Link-Sicherheit für "target" erhöhen! Aktualisiert 06.06.19
Mit dem Eintrag target=“_blank” im Link, werden Webseiten veranlasst im neuen Fenster, im neuen TAB zu öffnen! Sehr hilfreich und nützlich!
Aber! Durch den dabei ausgeführten Befehl window.opener erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per Javascript den Inhalt der Ursprungsseite zu verändern. Gefährdet sind alle Websites, aber besonders soziale Medien. Klickt man z.B. bei Facebook auf einen Link, so kann die Zielseite die noch offene Facebookseite manipulieren. Neben den Browser-Herstellern stehen zudem die Seitenbetreiber und Administratoren in der Pflicht!
Nutzt ein User einen älteren Browser, kann "target" Schwierigkeiten machen!
Lösung:
Mit dem Attribut rel="noopener noreferrer" setzt man das Objekt "window.opener" auf Null und der Rückgriff auf das aufrufende Fenster, respektive den aufrufenden Tab, ist unterbunden. Nicht jeder Browser unterstützt "noopener"! Hier soll das Attribut "noreferrer" übernehmen!
<a href="https://www.server.de" target="_blank" rel="noopener noreferrer">Neue Seite oder neuer TAB</a>
Für eine Großzahl von Verlinkungen mit <a>...</a>, reicht ein JavaScript-Eintrag in der [tipp]Kopfzeile[info2] Admin > Layout > Kopf- & Fußzeile[/tipp] aus! Das Script wird aktiv, wenn das Attribut target="_blank" im Link zu finden ist!
Für Verlinkungen mit JavaScript und onclick, gibt es nur eine manuelle Möglichkeit!
<span onclick="window.open(this.href='www.server.de', rel='noopener noreferrer');">Neue Seite oder neuer TAB</span>
Informationen zur Sicherheit:
Es wird natürlich empfohlen, die Webrowser aktuell zu halten! Die Webseiten sollten durch Webdesigner sparsam mit Öffnung neuer Fenster ausgestattet werden! Ein Leitsatz und Aufruf zu Sicherheit von Jakob Nielson (1999) lautet: "Wenn ich ein neues Fenster will, dann öffne ich es selber".
Aktualisiert:Link-Sicherheit für "target" erhöhen!
Auf Grund des Feedback aus dem Support habe ich den Beitrag #1 nochmal überarbeitet! Auch ist es schwer aus dem Netz genaue Informationen zu erhalten! Nicht alle Browser unterstützen das Attribut rel="noopener"! Hier soll dann "noreferrer" einspringen und die Linksicherheit erhöhen!
Unterstützung von rel="noopener":
• Google Chrome: ab 49.0 • Firefox (Gecko): ab 52.0 (52.0) • Opera: ab 36.0 • Internet Explorer + Edge + Safari: ?
Unterstützung von rel="noreferrer":
• Google Chrome: ab 49.0 • Firefox (Gecko): ab 52.0 (52.0) • Opera: ab 46.0 • Internet Explorer: ab 11.0 • Edge: ab 14.0 • Safari: ab 10.1
Lösungen:
• In Lösung 2 wird jetzt das Attribut "rel" nur hinzugefügt, wenn target="_blank" im Link vorhanden ist! • Hinzugekommen ist noch eine Lösung 3 für Verlinkungen mit JavaScript und "onclick"!