Mozilla está probando una nueva característica de seguridad en Firefox Nightly actualmente que agrega rel = «noopener» automáticamente a los enlaces que usan target = «_ blank».
Target = «_ blank» indica a los navegadores que abran automáticamente el destino del enlace en una nueva pestaña del navegador web; sin el atributo de destino, los enlaces se abrirían en la misma pestaña a menos que los usuarios utilicen la funcionalidad del navegador incorporada, por ejemplo, manteniendo presionada la tecla Ctrl o Shift, para abrir el enlace de una manera diferente.
Rel = «noopener es compatible con todos los navegadores web principales. El atributo asegura que el abridor de ventanas sea nulo en los navegadores modernos. Null significa que no contiene ningún valor.
Si no se especifica rel = «noopener», los recursos vinculados tienen control total sobre el objeto de la ventana de origen incluso si los recursos están en orígenes diferentes. El enlace de destino podría manipular el documento de origen, por ejemplo, reemplazarlo con un aspecto similar al phishing, mostrar publicidad en él o manipularlo de cualquier otra manera imaginable.
Puede consultar una página de demostración sobre el abuso de rel = «noopener» aquí. Es inofensivo pero destaca cómo los sitios de destino pueden alterar el sitio de origen si no se utiliza el atributo.
Rel = «noopener» protege el documento de origen. Los webmasters pueden, y deben, especificar rel = «noopener» siempre que utilicen target = «_ blank»; ya usamos el atributo en todos los enlaces externos aquí en este sitio.
Apple implementó un cambio en Safari en octubre que aplica rel = noopener automáticamente a cualquier enlace que use target = _blank.
La versión Nightly de Firefox ahora también admite la función de seguridad. Mozilla quiere recopilar datos para asegurarse de que el cambio no rompa nada importante en Internet.
La preferencia dom.targetBlankNoOpener.enable controla la funcionalidad. Solo está disponible en Firefox 65 y se establece en verdadero de forma predeterminada (lo que significa que se agrega rel = «_ noopener»).
Los usuarios de Firefox pueden cambiar la preferencia para desactivar la función. Si bien no se recomienda debido a las implicaciones de seguridad, es posible que desee hacerlo si tiene problemas de compatibilidad.
- Cargue about: config? Filter = dom.targetBlankNoOpener.enable en la barra de direcciones del navegador.
- Confirme que tendrá cuidado si se muestra el mensaje de advertencia.
- Haga doble clic en la preferencia.
Un valor de verdadero significa que rel = «noopener» se agrega a los enlaces con target = «_ blank», un valor de falso que no es.
Mozilla apunta a Firefox 65 para la versión estable. Es posible que las cosas se retrasen según los problemas que se puedan informar o notar. Firefox 65 se lanzará el 29 de enero de 2019. (a través de Sören Hentzschel)