Chrome wird in Kürze verhindern, dass JavaScript bei URL-Klicks auf Webseiten umgeleitet wird

Letzte Woche hat der Microsoft Edge-Entwickler Eric Lawrence eine Änderung im Edge-Browser vorgenommen, um die Sicherheit zu erhöhen, wenn Benutzer auf Webseiten-Links klicken, die URLs in einem neuen Fenster oder einer neuen Registerkarte öffnen.

Die Funktion wird auch in Google Chrome, Brave und anderen Chromium-basierten Browsern unterstützt.

Was tatsächlich passiert ist, ist, dass wenn Leute das Attribut target = “_ blank” (das Attribut weist die Autoren an, dass der Browser den Link in einem neuen Tab öffnen soll, wenn sie darauf klicken) in eine HTML-Seite aufnehmen, dies ein großes Sicherheitsproblem darstellt – Bedrohungsakteure können ein neues öffnen Seite, um Javascript zu verwenden, um die Originalseite auf eine andere URL umzuleiten.

Um diesen Angriff abzuschwächen, wurde der HTML-Standard geändert, um festzulegen, dass sich Anker, die auf _blank abzielen, so verhalten sollen, als ob | rel = “noopener” | eingestellt ist. Eine Seite, die dieses Verhalten deaktivieren möchte, kann | rel = “opener” |, “setzen

Im Jahr 2018 nahm Apple eine Änderung in seinen Safari-Browsern vor, um alle HTML-Links zu behandeln, die das Ziel = “_ blank” verwenden, um automatisch das Noopener-Attribut zum Sichern ihrer URLs zu implizieren.

Derzeit hat nur Chrome Canary diese Funktion erhalten. Es wird erwartet, dass die Funktion im Januar 2021 mit Chrome 88 veröffentlicht wird.