Chrome empêchera bientôt la redirection JavaScript sur les clics d’URL de page Web
La semaine dernière, le développeur Microsoft Edge, Eric Lawrence a modifié le navigateur Edge pour augmenter la sécurité lorsque les utilisateurs cliquent sur des liens de page Web qui ouvrent des URL dans une nouvelle fenêtre ou un nouvel onglet.
La fonctionnalité sera également prise en charge dans Google Chrome, Brave et d’autres navigateurs basés sur Chromium.
Ce qui s’est réellement passé, c’est que lorsque les gens incluent l’attribut target = “_ blank” (l’attribut indique aux auteurs au navigateur d’ouvrir le lien dans un nouvel onglet lorsqu’ils cliquent dessus) dans une page HTML, cela crée un problème de sécurité majeur – les auteurs de menaces peuvent ouvrir un nouveau page pour utiliser javascript pour rediriger la page d’origine vers une URL différente.
Pour atténuer cette attaque, comme l’a déclaré Lawrence, «la norme HTML a été modifiée pour spécifier que les ancres qui ciblent _blank doivent se comporter comme si | rel =” noopener “| est réglé. Une page souhaitant désactiver ce comportement peut définir | rel = “opener” |, “
En 2018, Apple a modifié ses navigateurs Safari pour traiter tous les liens HTML qui utilisent la cible = ”_ blank” pour impliquer automatiquement l’attribut noopener pour sécuriser leurs URL.
À l’heure actuelle, seul Chrome Canary a reçu cette fonctionnalité. Il est prévu que la fonctionnalité soit publiée avec Chrome 88 en janvier 2021.