标签属性 rel=“noopener noreferrer“ 原来这么有用

大家应该都知道rel=’nofollow’的作用，它是告诉搜索引擎，不要将该链接计入权重。因此多数情况下，我们可以将一些不想传递权重的链接进行nofollow处理，那么标签属性rel="noopener noreferrer"又有什么作用呢？

标签中 rel=“noopener noreferrer”
标签的 rel 属性用于指定当前文档与被链接文档的关系。
只有在使用了 href 属性后才能使用 rel 属性。
使用了 target="_blank" 后需要增加 rel=“noopener noreferrer” 来保证安全

标签中 target="_blank" 安全漏洞
在 标签中给链接加上 target="_blank" 后，目标网页会在新的标签页中打开， 此时在新打开的页面中可通过 window.opener 获取到源页面的 window 对象， 这就埋下了安全隐患。
假设一个网页 A 中有超链接指向网页 B。
B 网页可以通过 window.opener 获取到 A 的 window 对象，进而网络钓鱼者可以控制 A 网页跳转到一个钓鱼网页(window.opener.location.href =“fishing.com”)，用户不知道页面已经跳转，在该页面输入了用户名密码后则发生信息泄露。

设置 rel=“noopener noreferrer” 堵住钓鱼安全漏洞
设置 rel=“noopener” 的链接，window.opener 会为 null，这样新打开的页面便获取不到来源页面的 window 对象了。
设置 rel=“noreferrer” 的链接，新打开的页面也获取不到来源页面的 window 对象。 同时， 新打开页面中还无法获取 document.referrer 信息， 该信息包含了来源页面的地址。

总结一下
通常 noopener 和 noreferrer 会同时设置，rel=“noopener noreferrer”。因为一些老旧浏览器不支持 noopener。
使用 target="_blank" 在新标签页中打开第三方地址时， 必须设置 rel=“noopener noreferrer”