【Rails Tutorial】target="_blank"で新しいページを開くときのセキュリティ対策
target="_blank"で新しいページを開くときには、セキュリティ上の小さな問題があります。
対処方法は、リンク用のaタグのrel (relationship) 属性に、"noopener"と設定するだけです。
---
<a href="http://hogehoge" target="_blank" rel="noopener">クリック</a>
セキュリティ上の小さな問題、はフィッシング詐欺などの手口と関係している。
【フィッシング詐欺などの手口】
1.サイトAから target="_blank" でサイトBを開く
(新たにタブが作成され、移動する)
2.サイトBの中で、サイトAを任意のURL(サイトA')に遷移させる
処理を実行する。例えば、サイトAと酷似したログイン画面のページへ
遷移させる。
3.偽ログイン画面のサイトA'で、ユーザー情報を入力させる。
4.ユーザーが入力すると、あたかも正規のサイトでログインが成功
したかのようにサイトAへ遷移を戻す。
この問題への対応として rel="noopener" を指定することで、2が実行されなくなる。なるほどなぁ。
この記事が気に入ったらサポートをしてみませんか?