Os links com target="_blank"
eles são vulneráveis a ter a página de referência sendo trocada em segundo plano enquanto a atenção do usuário é desviada pela guia recém-aberta. Isso é conhecido como tabnapping reverso :
A página de referência é armazenada em window.opener
e um site malicioso pode modificá-la por meio de:
if (window.opener) {
window.opener.location = "https://phish.example.com";
}
Adicionar rel="noopener noreferrer"
corrige esta vulnerabilidade em todos os principais navegadores.
Observe que você poderia teoricamente remover o rel
lado do cliente por meio da manipulação ... mas por que você quer? Tudo o que você está fazendo é ficar deliberadamente vulnerável ao ataque.
Outros usuários que visitam o mesmo site (e não modificam seu próprio código do lado do cliente) ainda estariam seguros, pois o servidor ainda serviria o rel="noopener noreferrer"
. Sua remoção se aplica apenas a você.