關於a標籤target=「_blank"使用rel=noopener

1、爲何要使用rel='noopener'？

先舉個栗子

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <a href="b.html" target="_blank">da</a>
</body>
</html>
複製代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <SCRIPT>window.opener.location.href ="http://google.com"</SCRIPT>
</body>
</html>
複製代碼

其中在a.html中有個超連接，點擊後打開新的tab頁，神奇的發現原tab頁已經變成了谷歌頁面。緣由是使用target=_blank打開新的窗口時，賦予了新的窗口一些權限能夠操做原tab頁，其中window.location就是一個。不使用 rel=noopener就是讓用戶暴露在釣魚攻擊上。下圖爲頁面的window信息

2、使用rel=noopener

爲了防止window.opener被濫用，在使用targrt=_blank時須要加上rel=noopener

<a href="www.baidu.com" target="_blank" rel="noopener" >

3、rel=norefferrer

rel=noopener支持chrome49和opera36，不支持火狐，爲了兼容須要加上rel=noreferrer

<a href="www.baidu.com" target="_blank" rel="noopener norefferrer" >

4、eslint提示

vscode中eslint提示

eslint提示後根據文檔實際嘗試了一下，以前忽略的小問題竟然還有這麼大安全問題，網絡安全不可小覷。

參考文章：eslint提示的官方文檔