アンカータグで
自分の管理外のページに飛ぶ場合で
かつ
target
属性で"_blank"
を指定する場合
において
rel
属性に"noopener"
を追加するべし
※ユーザからの投稿されたリンクを表示するようなサービス側がやるべきことらしいが
※まぁ個人的サイトに貼るリンクでもリンク先サイトが滅びてドメインが悪しき人間に渡ることもありうるかもだが、そんなに気にすることでもないかもしれないし、そもそもリンク先を別タブ等で開くかは訪問者に任せるべきで、サイト側が指定するべきではないかもしらんが(俺が作るサイトは俺用なので俺が別タブで開きたいページへのリンクは全て_blankつけてるが
※自分の管理下のページでもハックされて乗っ取られ改造されることも…?(そんな局所的な変な書き換えが起きるシチュが分からんが()
_blank
で別タブや別ウインドウで開いたページから
window.opener
を使ってリンク元ページを操作できるらしく
開いたページが同一ドメイン(ホスト?)だとリンク元ページのdocumentの操作ができるらしく
異なるドメインの場合でも、リンク元ページのページ遷移(怪しいページとかへ)を発生させられるらしい
(JSのメモリ(?)もリンク元と共有されるらしい(操作できるんだからそりゃそうかもだが
↓ページが操作されるのを体験できるやつ(MDN内で紹介されてるサイト)
現行の標準ではnoopener
を指定しなくてもデフォでnoopener
らしい(ちゃんとしたブラウザの最新版を使ってればってことなのかな?
https://developer.mozilla.org/ja/docs/Web/HTML/Link_types#Specifications