Foto od JJ Ying na Unsplash
S vydaním WordPress 4.7.4 došlo k zmene spôsobu vytvárania odkazov v príspevkoch a stránkach WordPress. Ak v editore WordPress prejdete na zobrazenie „text“, uvidíte, že odkazy, ktorým ste povedali, aby sa otvorili na novej karte, sú teraz označené rel=„noopener“. Mnohí používatelia WordPress sa pýtali, čo tento atribút znamená, prečo sa pridáva do ich odkazov a najmä, či má vplyv na optimalizáciu pre vyhľadávače tak, ako môžu atribúty ako rel=“nofollow” a rel=”noindex” .
V skutočnosti sa rel=“noopener” pridáva k odkazom, ktoré sa otvárajú na novej karte, ako bezpečnostné opatrenie. Keď odkaz otvorí novú kartu, stránka, ktorá sa otvorí na druhej karte, môže vykonávať určitú kontrolu nad tým, čo sa zobrazí na pôvodnej karte. Táto schopnosť je daná objektom JavaScript window.opener, ktorý poskytuje JavaScriptu spustenému na podradenej karte prístup k obsahu nadradenej karty.
Window.opener možno použiť na „hacknutie“ obsahu nadradenej karty. To je zlá správa, ak pôvodná karta obsahuje citlivé informácie alebo formuláre, ktoré by sa dali použiť na zadávanie citlivých informácií. Vynikajúcu ukážku tohto procesu môžete vidieť na stránke „o rel=noopener“.
Jednoduchou aplikáciou tohto hacku by bolo vložiť odkaz na stránku WordPress, ktorá otvorí novú stránku na novej karte. Kód na novej stránke by sa potom mohol použiť na zmenu obsahu pôvodnej karty na falošnú prihlasovaciu stránku, ktorá by potom odoslala prihlasovacie údaje používateľa škodlivej tretej strane. Ak nadradená a podradená karta obsahujú stránky na rôznych doménach, existujú väčšie obmedzenia pre objekt window.opener, ale podradená karta je schopná presmerovať nadradenú kartu na inú stránku. Je ľahké si predstaviť situáciu, v ktorej útočník rozošle škodlivé odkazy, ktoré presmerujú nadradenú kartu na phishingovú stránku.
Ako vidíte, objekt window.opener predstavuje bezpečnostné riziko bez toho, aby pridával veľa užitočného pre veľkú väčšinu stránok WordPress. Atribút rel=”noopener” hovorí webovým prehliadačom, aby zakázali objekt window.opener. Bez prístupu k tomuto objektu nie je možné, aby podradená karta mohla ovplyvniť svojho rodiča.
Škodí rel-noopener SEO?
Krátka odpoveď je nie. Atribút rel=”noopener” nemá nič spoločné s optimalizáciou pre vyhľadávače. Prehľadávače vyhľadávacích nástrojov to ignorujú a nemá to vplyv na stránky, ktoré prehľadávajú, ani na to, ako hodnotia a indexujú stránky.
Hoci rel=”noopener” odstraňuje bezpečnostné riziko, klienti hostingu WordPress by si mali dvakrát rozmyslieť, kým prinútia otvárať stránky na nových kartách alebo oknách. Ak chcú používatelia otvárať karty v nových oknách, ich prehliadače to uľahčujú. Vynútenie otvárania stránok na nových kartách je zbytočným zásahom do očakávaného používateľského zážitku z webu.
