Sécurité Firefox: rel = noopener pour target = _blank

• Catégorie: Firefox

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Mozilla teste actuellement une nouvelle fonctionnalité de sécurité dans Firefox Nightly qui ajoute automatiquement rel = 'noopener' aux liens qui utilisent target = '_ blank'.

Target = '_ blank' indique aux navigateurs d'ouvrir automatiquement la cible du lien dans un nouvel onglet du navigateur Web; sans l'attribut cible, les liens s'ouvriraient dans le même onglet à moins que les utilisateurs n'utilisent la fonctionnalité de navigateur intégrée, par exemple en maintenant la touche Ctrl ou Maj enfoncée, pour ouvrir le lien d'une manière différente.

Rel = 'noopener est pris en charge par tous les principaux navigateurs Web. L'attribut garantit que window-opener est nul dans les navigateurs modernes. Null signifie qu'il ne contient aucune valeur.

Si rel = 'noopener' n'est pas spécifié, les ressources liées ont un contrôle total sur l'objet window d'origine, même si les ressources ont des origines différentes. Le lien de destination pourrait manipuler le document d'origine, par ex. remplacez-le par un sosie pour hameçonnage, affichez une publicité dessus ou manipulez-le de toute autre manière imaginable.

Vous pouvez consulter une page de démonstration sur l'abus de rel = 'noopener' ici . Il est inoffensif mais met en évidence comment les sites de destination peuvent modifier le site d'origine si l'attribut n'est pas utilisé.

Rel = 'noopener' protège le document d'origine. Les webmasters peuvent - et doivent - spécifier rel = 'noopener' chaque fois qu'ils utilisent target = '_ blank'; nous utilisons déjà l'attribut sur tous les liens externes ici sur ce site.

Apple a mis en œuvre un changement dans Safari en octobre qui applique automatiquement rel = noopener à tout lien utilisant target = _blank.

La version Nightly de Firefox prend également en charge la fonction de sécurité maintenant. Mozilla souhaite collecter des données pour s'assurer que le changement ne casse rien de majeur sur Internet.

La préférence dom.targetBlankNoOpener.enable contrôle la fonctionnalité. Il n'est disponible que dans Firefox 65 et défini sur true par défaut (ce qui signifie que rel = '_ noopener' est ajouté).

Les utilisateurs de Firefox peuvent modifier la préférence pour désactiver la fonctionnalité. Bien que cela ne soit pas recommandé en raison des implications de sécurité, vous souhaiterez peut-être le faire si vous rencontrez des problèmes de compatibilité.

1. Charger à propos de: config? Filter = dom.targetBlankNoOpener.enable dans la barre d'adresse du navigateur.
2. Confirmez que vous serez prudent si l'invite d'avertissement s'affiche.
3. Double-cliquez sur la préférence.

Une valeur true signifie que rel = 'noopener' est ajouté aux liens avec target = '_ blank', une valeur false indiquant que ce n'est pas le cas.

Mozilla cible Firefox 65 pour la version stable. Les choses peuvent être retardées en fonction des problèmes qui peuvent être signalés ou remarqués. Firefox 65 sortira le 29 janvier 2019 . (via Sören Hentzschel )