Google Chrome para bloquear redirecionamentos de JavaScript em cliques de URL de página da web
Google Chrome Em breve, você poderá bloquear redirecionamentos de JavaScript quando os usuários clicarem em um link de página da web que abre um URL em uma nova janela ou guia.
Para quem não conhece, ao inserir um link em uma página HTML, um autor pode incluir o atributo target = “_ blank” para indicar um Navegador da web para abrir um link em uma nova guia. Embora útil para proprietários de site, este atributo tem um problema de segurança conhecido devido ao fato de que uma página recém-aberta pode usar um redirecionamento de JavaScript para abrir um URL diferente daquele especificado no código HTML de um site.
Isso significa que um agente de ameaça pode redirecionar os usuários para páginas de phishing ou sites que hospedam arquivos maliciosos simplesmente adicionando um redirecionamento de JavaScript para links em uma página da web.
Felizmente, no entanto, um atributo de link HTML re: = “noopener” foi criado para evitar que novas guias usem JavaScript para redirecionar para outro UR.
Prevenção de redirecionamento de JavaScript
Em 2018, a Apple mudou a forma como o Safari lida com todos os links HTML que usam o atributo target = “_ blank” para implicar automaticamente o atributo noopener. Depois de habilitado, esse recurso impede que os links incorporados redirecionem para um URL diferente.
Microsoft borda O desenvolvedor Eric Lawrence adicionou recentemente exatamente esse mesmo recurso ao Chromium, o que significa que ele logo encontrará seu caminho para o Google Chrome, Brave, Vivaldi, Microsoft Edge e todos os outros navegadores baseados em Chromium. Lawrence forneceu mais detalhes sobre como esse recurso funcionará no Chromium em seu comprometer, dizendo:
“Para mitigar ataques de” cochilo de guia “, onde uma nova guia / janela aberta pelo contexto de uma vítima pode navegar por esse contexto de abertura, o padrão HTML foi alterado para especificar que as âncoras apontando para _blank devem se comportar como se | rel = “noopener” | Está estabelecido. Uma página que deseja excluir-se desse comportamento pode definir | rel = “abridor” |. “
Atualmente, este recurso está habilitado em Chrome Canary mas espera-se que seja incluído com o lançamento de Chrome 88 em janeiro do próximo ano.
Através da BleepingComputer