Link-Sicherheit für "target" erhöhen! Aktualisiert 06.06.19
Mit dem Eintrag target=“_blank” im Link, werden Webseiten veranlasst im neuen Fenster, im neuen TAB zu öffnen! Sehr hilfreich und nützlich!
Aber! Durch den dabei ausgeführten Befehl window.opener erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per Javascript den Inhalt der Ursprungsseite zu verändern. Gefährdet sind alle Websites, aber besonders soziale Medien. Klickt man z.B. bei Facebook auf einen Link, so kann die Zielseite die noch offene Facebookseite manipulieren. Neben den Browser-Herstellern stehen zudem die Seitenbetreiber und Administratoren in der Pflicht!
Lösung:
Mit dem Attribut rel="noopener noreferrer" setzt man das Objekt "window.opener" auf Null und der Rückgriff auf das aufrufende Fenster, respektive den aufrufenden Tab, ist unterbunden. Nicht jeder Browser unterstützt "noopener"! Hier soll das Attribut "noreferrer" übernehmen!
Für eine Großzahl von Verlinkungen mit <a>...</a>, reicht ein JavaScript-Eintrag in der Kopfzeile aus! Das Script wird aktiv, wenn das Attribut target="_blank" im Link zu finden ist!
Für Verlinkungen mit JavaScript und onclick, gibt es nur eine manuelle Möglichkeit!
Informationen zur Sicherheit:
Es wird natürlich empfohlen, die Webrowser aktuell zu halten! Die Webseiten sollten durch Webdesigner sparsam mit Öffnung neuer Fenster ausgestattet werden! Ein Leitsatz und Aufruf zu Sicherheit von Jakob Nielson (1999) lautet: "Wenn ich ein neues Fenster will, dann öffne ich es selber".
Hilfreiche Links:
PS: Erhöhte Linksicherheit ist bereits im Forum verbaut!
Aktualisiert:Link-Sicherheit für "target" erhöhen!
Auf Grund des Feedback aus dem Support habe ich den Beitrag #1 nochmal überarbeitet! Auch ist es schwer aus dem Netz genaue Informationen zu erhalten! Nicht alle Browser unterstützen das Attribut rel="noopener"! Hier soll dann "noreferrer" einspringen und die Linksicherheit erhöhen!
Unterstützung von rel="noopener":
• Google Chrome: ab 49.0 • Firefox (Gecko): ab 52.0 (52.0) • Opera: ab 36.0 • Internet Explorer + Edge + Safari: ?
Unterstützung von rel="noreferrer":
• Google Chrome: ab 49.0 • Firefox (Gecko): ab 52.0 (52.0) • Opera: ab 46.0 • Internet Explorer: ab 11.0 • Edge: ab 14.0 • Safari: ab 10.1
Lösungen:
• In Lösung 2 wird jetzt das Attribut "rel" nur hinzugefügt, wenn target="_blank" im Link vorhanden ist! • Hinzugekommen ist noch eine Lösung 3 für Verlinkungen mit JavaScript und "onclick"!