Bảo mật của Firefox: rel = noopener cho target = _blank

• Thể LoạI: Firefox

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

Mozilla hiện đang thử nghiệm một tính năng bảo mật mới trong Firefox Nightly, tính năng tự động thêm rel = 'noopener' vào các liên kết sử dụng target = '_ blank'.

Target = '_ blank' hướng dẫn trình duyệt tự động mở mục tiêu liên kết trong tab mới trong trình duyệt web; nếu không có thuộc tính target, các liên kết sẽ mở trong cùng một tab trừ khi người dùng sử dụng chức năng trình duyệt tích hợp sẵn, ví dụ: bằng cách giữ Ctrl hoặc Shift, để mở liên kết theo một cách khác.

Rel = 'noopener được hỗ trợ bởi tất cả các trình duyệt web chính. Thuộc tính đảm bảo rằng công cụ mở cửa sổ là rỗng trong các trình duyệt hiện đại. Null nghĩa là nó không chứa giá trị.

Nếu rel = 'noopener' không được chỉ định, các tài nguyên được liên kết có toàn quyền kiểm soát đối tượng cửa sổ gốc ngay cả khi các tài nguyên nằm trên các nguồn khác nhau. Liên kết đích có thể thao túng tài liệu gốc, ví dụ: thay thế nó bằng một hình thức lừa đảo, hiển thị quảng cáo trên đó hoặc thao túng nó theo bất kỳ cách nào khác có thể tưởng tượng được.

Bạn có thể xem trang demo về lạm dụng rel = 'noopener' đây . Điều này vô hại nhưng làm nổi bật cách các trang web đích có thể thay đổi trang web gốc nếu thuộc tính không được sử dụng.

Rel = 'noopener' bảo vệ tài liệu gốc. Quản trị viên web có thể - và nên - chỉ định rel = 'noopener' bất cứ khi nào họ sử dụng target = '_ blank'; chúng tôi sử dụng thuộc tính trên tất cả các liên kết bên ngoài ở đây trên trang web này.

Apple đã triển khai một thay đổi trong Safari vào tháng 10, áp dụng tự động rel = noopener cho bất kỳ liên kết nào sử dụng target = _blank.

Phiên bản Nightly của Firefox hiện cũng hỗ trợ tính năng bảo mật. Mozilla muốn thu thập dữ liệu để đảm bảo rằng sự thay đổi không phá vỡ bất kỳ điều gì quan trọng trên Internet.

Tùy chọn dom.targetBlankNoOpener.enable kiểm soát chức năng. Nó chỉ có sẵn trong Firefox 65 và được đặt thành true theo mặc định (có nghĩa là rel = '_ noopener' được thêm vào).

Người dùng Firefox có thể thay đổi tùy chọn để tắt tính năng này. Mặc dù nó không được khuyến khích vì các tác động bảo mật, bạn có thể muốn làm như vậy nếu bạn gặp sự cố tương thích.

1. Tải về: config? Filter = dom.targetBlankNoOpener.enable trong thanh địa chỉ của trình duyệt.
2. Xác nhận rằng bạn sẽ cẩn thận nếu lời nhắc cảnh báo được hiển thị.
3. Bấm đúp vào tùy chọn.

Giá trị true có nghĩa là rel = 'noopener' được thêm vào các liên kết có target = '_ blank', giá trị false thì không.

Mozilla nhắm mục tiêu Firefox 65 cho bản phát hành Ổn định. Mọi thứ có thể bị trì hoãn tùy thuộc vào các vấn đề có thể được báo cáo hoặc nhận thấy. Firefox 65 sẽ được phát hành vào ngày 29 tháng 1 năm 2019 . (thông qua Sören Hentzschel )