<a> 标签中 rel=“noopener noreferrer”

• <a> 标签的 rel 属性用于指定当前文档与被链接文档的关系。
• 只有在使用了 href 属性后才能使用 rel 属性。
• 使用了 target="_blank" 后需要增加 rel=“noopener noreferrer” 来保证安全。

<a> 标签中 target="_blank" 安全漏洞

  在 <a> 标签中给链接加上 target="_blank" 后，目标网页会在新的标签页中打开， 此时在新打开的页面中可通过 window.opener 获取到源页面的 window 对象， 这就埋下了安全隐患。

• 假设一个网页 A 中有超链接指向网页 B。
• B 网页可以通过 window.opener 获取到 A 的 window 对象，进而网络钓鱼者可以控制 A 网页跳转到一个钓鱼网页(window.opener.location.href =“fishing.com”)，用户不知道页面已经跳转，在该页面输入了用户名密码后则发生信息泄露。

设置 rel=“noopener noreferrer” 堵住钓鱼安全漏洞

• 设置 rel=“noopener” 的链接，window.opener 会为 null，这样新打开的页面便获取不到来源页面的 window 对象了。
• 设置 rel=“noreferrer” 的链接，新打开的页面也获取不到来源页面的 window 对象。 同时， 新打开页面中还无法获取 document.referrer 信息， 该信息包含了来源页面的地址。

总结

• 通常 noopener 和 noreferrer 会同时设置，rel=“noopener noreferrer”。因为一些老旧浏览器不支持 noopener。
• 使用 target="_blank" 在新标签页中打开第三方地址时， 必须设置 rel=“noopener noreferrer”。