Каким должен быть набор атрибутов у ссылок с точки зрения безопасности для разных случаев?

Question

[Wylaroren]

Как известно, при открывании внешних ссылок на новых вкладках у тэга a должны быть атрибуты target="blank" и rel=“noopener noreferrer”, а если ещё нужно попросить поисковых роботов игнорировать ссылку (приказать, насколько я знаю, не получится), то rel=“noopener noreferrer nofollow”. А что насчёт внутренних ссылок, если их надо открыть на другой вкладке?

Чтобы организовать знания по этой теме, подготовил такую блок-схему:



На то, что атрибут rel как-то связан с безопасностью, я обратил внимание при изучении ESLint-правила jsx-no-target-blank.md, где чётко сказано ("severe security vulnerability" - "серьёзная уязвимость в безопасности"), что использование target='_blank' без rel='noreferrer' является серьёзной уязвимостью:

Using this attribute unaccompanied by rel='noreferrer', however, is a severe security vulnerability (see noreferrer docs and noopener docs for more details)

Comments

[Everything_is_bad]

безопасности чего?

[Ankhena]

А что насчёт внутренних ссылок, если их надо открыть на другой вкладке?

И?
Сам себе сообщишь тайные знания о самом себе?
Это к другому доктору.

[Refguser]

Как известно, при открывании внешних ссылок на новых вкладках у тэга a должны быть атрибуты target="blank" и rel=“noopener noreferrer”

Этот бред известен разве что пациентам каких-то недокурсов.

Если ещё в силах излечиться - беги оттуда. Бери документацию и изучай.

[DIVSIDE]

Это дроч и реально от недокурсов

[Wylaroren]

Everything_is_bad, Скажу честно: детально не вникал, потому то меня интересуют практические знания с минимальным теоретическим обоснованием. На то, что атрибут rel как-то связан с безопасностью, я обратил внимание при изучении ESLint-правила jsx-no-target-blank.md, где чётко сказано, что использование target='_blank' без rel='noreferrer' является серьёзной уязвимостью:

Using this attribute unaccompanied by rel='noreferrer', however, is a severe security vulnerability (see noreferrer docs and noopener docs for more details)

[Wylaroren]

Ankhena, Прошу прощения, к сожалению не понял, в чём смысл Вашего наезда. Ваше сообщение на 100% состоит из личных оскорблений, при этом ничего, кроме моей цитаты, не ссылается на тему данного обсуждения. Не могли бы Вы объяснить, что Вас вывело из состояния психического равновесия? Может я спросил о какой-то вещи, которую Вы, мастер своего дела, привыкли считать очевидной? Тогда, возможно, я смогу улучшить свой вопрос.

[Wylaroren]

Refguser, DIVSIDE, Михаил Лялин Благодарю Вас за комментарий. Нет, курсы здесь не причём. На то, что атрибут rel как-то связан с безопасностью, я обратил внимание при изучении ESLint-правила jsx-no-target-blank.md, где чётко сказано, что использование target='_blank' без rel='noreferrer' является серьёзной уязвимостью:

Using this attribute unaccompanied by rel='noreferrer', however, is a severe security vulnerability (see noreferrer docs and noopener docs for more details)

[Ankhena]

Wylaroren, какие ещё личные оскорбления и мое душевное равновесие? Спишем на пятницу.

Вы владелец сайта. Что нового и тайного вы узнаете о сайте при переходе между его страницами?
Безопасность чего вас при этом беспокоит?

[Wylaroren]

Ankhena,

> Вы владелец сайта. Что нового и тайного вы узнаете о сайте при переходе между его страницами?

Может быть и нечего, но мне неизвестно, как работает браузер под капотом.

> Безопасность чего вас при этом беспокоит?

Меня беспокоит и должна беспокоить безопасность сайтов и веб-приложений в целом.
Но если брать текущую задачу, то необходимо разработать GUI-компонент "ссылка" (неважно, для какого фреймворка), при этом чтобы в зависимости от параметров добавлялись нужные атрибуты к выходному HTML-коду.

Мне известно, что через средства разработчика любой пользователь может сделать с HTML-кодом всё, что угодно, в частности, добавить или удалить атрибуты.
Но раз создатели плагинов для ESLint обращают внимание на то, что в некоторых случаях наличие определённых атрибутов влияет на безопасность, значит что-то в этом есть, ибо новички не создают популярных ESLint-плагинов и не публикуют их.

Полагаю, Вы очень хорошо знаете спецификацию HTML/CSS/JavaScript и глубоко понимаете, как работает браузер и протокол HTTP. Если так, то у нас не получается конструктивного диалога, потому что у меня подход другой: я начинаю погружаться в спецификацию и работу под капотом только тогда, когда это необходимо, а просто изучать спецификацию можно сколько угодно, но при не иметь практических навыков.

[Ankhena]

Wylaroren,

я начинаю погружаться в спецификацию и работу под капотом только тогда, когда это необходимо

Видимо сейчас пока нет такой необходимости.

то у нас не получается конструктивного диалога

Именно так.
Про причине выше.

Захотите конструктива, приходите с конкретными вопросами после прочтения описания интересующих значений.

[tgarl]

Натолкнулся на текущий вопрос и не пойму автора - в чем проблема(вот даже интересно стало, не та часть что несколько раз процитировал, а реальная или проблема в том что не понял что процитировал)?

Проблема, которую вы пытаетесь поднять по мне вообще таковой не является, потому что опасность как её описывают заключается только в том, что страница на которую вы будете ссылаться будет иметь возможность передать родителю что-то(очень полезная и удобная вещь, например для создания настроек - по нажатию на кнопку открываете окно там делаете какой-то выбор и результат отправляете на родителя где нажимаете другую ссылку/кнопку сохранить и в БД отправляются нужные настройки). Но если проект ваш, а не куча ссылок на неизвестные какие-то сайты, то вы сами себе не будете ничего подсовывать.

Answer 1

[Михаил Лялин]

ох уж эти "курсы" от skypro ;-)

элемент ссылки и его использование в HTML
"безопасность" - это к браузеру, защите ОС и т.п.
запрет индексации ссылок - это .htaccess и т.п.