target=”_blank”の脆弱性
<a>のtarget="_blank"は、リンクを新しいタブで開くもの
リンク先のjsのコードによって、元のページ(自分のページ)を別ページに遷移させることができる
具体的にはこんなコード
code:js
window.opener.location="./piyo.html"
対策
<a href='hoge' target='_blank' rel='noopener noreferrer'とする
これによってwindow.openerを参照できなくなる
noreferrerはnoopenerの代替
参考
target="_blank"には気をつけよう - Qiita
リンクのtarget=_blankには「rel=noopener」でセキュリティ対策 | design Edge
https://mathiasbynens.github.io/rel-noopener/
https://qiita.com/Terryy/items/eeabfc838eea1ed65023
https://webegins.com/target-blank/
https://blog.kazu69.net/2016/08/23/target-blank-vulnerability-tabnabbing-and-countermeasures/