web-dev-qa-db-ja.com

安全対策として、(新しいウィンドウで開くために)Webサイトのリンクで 'noreferrer'属性を使用する必要がありますか?

安全対策としてリンクにnoopener noreferrer属性を追加することを勧めるインターネット上のサイトはたくさんあります。これは、他のドメインの悪意のあるスクリプトがウィンドウを制御するのを防ぐためです(target="_blank"とのリンクの場合)。

それを確認するためのeslintルールさえあります:

https://github.com/yannickcr/eslint-plugin-react/blob/master/docs/rules/jsx-no-target-blank.md `

https://mathiasbynens.github.io/rel-noopener/

[〜#〜]質問[〜#〜]

noopenerの部分を取得します。それは理にかなっている。しかし、本当に安全なnoreferrerが必要ですか?

javascriptlinksmalicious
2
cbdeveloper

どちらか一方を使用するだけで済みます。 From Web開発者向けのGoogleツール-クロスオリジンのリンク先へのリンクは安全ではありません

  • rel="noopener"は、新しいページがwindow.openerプロパティにアクセスできないようにし、別のプロセスで実行されるようにします。
  • rel="noreferrer "属性も同じ効果がありますが、Refererヘッダーが新しいページに送信されないようにすることもできます。

したがって、両方を使用する必要はありません。どちらを使用しても、セキュリティの問題は自動的に防止されます。

3
Stephen Ostermiller