Thuộc tính rel=”noopener” trong WordPress là gì

Posted on by Toàn Chí Nguyễn

Khi tạo liên kết trên trang web, không chỉ nội dung và đích đến của liên kết quan trọng mà các thuộc tính bảo mật cũng đóng vai trò lớn trong việc bảo vệ trang web của bạn và người dùng. Một trong những thuộc tính quan trọng trong HTML giúp tăng cường bảo mật là Noopener.

Noopener là gì?
Noopener là gì?

Noopener giúp ngăn chặn các trang web được mở từ một liên kết có quyền truy cập vào ngữ cảnh duyệt web hiện tại. Điều này rất quan trọng để bảo vệ khỏi các cuộc tấn công XSS (Cross-Site Scripting) hoặc các trang web độc hại có thể lợi dụng quyền truy cập vào trang gốc. Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết về Noopener, cách sử dụng, sự khác biệt giữa Noopener và Nofollow, cùng các ví dụ thực tế để hiểu rõ hơn về tầm quan trọng của nó.

Noopener là gì?

Noopener là một giá trị của thuộc tính rel trong thẻ <a> được sử dụng để chỉ định rằng liên kết mở ra không nên có quyền truy cập vào trang hiện tại. Điều này giúp ngăn chặn các trang web được mở từ liên kết lợi dụng đối tượng window.opener để thực hiện các hành vi độc hại.

Ví dụ về cách sử dụng Noopener trong HTML:

html

<a href=”https://example.com” target=”_blank” rel=”noopener”>Truy cập trang web</a>

Trong đoạn mã trên:

  • target=”_blank” giúp mở liên kết trong một tab mới.
  • rel=”noopener” ngăn chặn trang đích truy cập vào trang hiện tại qua đối tượng window.opener.

Nếu không sử dụng Noopener, trang được mở có thể thay đổi nội dung trang gốc bằng JavaScript, dẫn đến nguy cơ bảo mật cao.

Ví dụ thực tế khi sử dụng Noopener

Ngăn chặn trang web độc hại kiểm soát cửa sổ trình duyệt

Nếu một trang web không sử dụng rel=”noopener”, trang đích có thể thực thi đoạn mã sau:

javascript

window.opener.location = “https://malicious-website.com”;

Ví dụ:

  • Bạn có một trang web A đặt liên kết đến trang B.
  • Nếu không dùng Noopener, trang B có thể thay đổi nội dung trang A bằng cách chuyển hướng trang A đến một trang độc hại.
  • Điều này có thể bị kẻ tấn công lợi dụng để giả mạo trang web của bạn và đánh cắp thông tin người dùng.

Bằng cách thêm rel=”noopener”, bạn có thể ngăn chặn hành vi này và bảo vệ trang web của mình.

Kết hợp Noopener với Noreferrer để tăng cường bảo mật

Ngoài Noopener, còn có một giá trị khác là Noreferrer giúp bảo vệ quyền riêng tư của người dùng bằng cách không gửi thông tin “referrer” (nguồn truy cập) đến trang đích.

Ví dụ cách sử dụng kết hợp:

html

<a href=”https://example.com” target=”_blank” rel=”noopener noreferrer”>Truy cập an toàn</a>

noopener chặn trang đích truy cập vào trang nguồn.

noreferrer không gửi thông tin referrer, giúp bảo vệ quyền riêng tư của người dùng.

Khi nào nên sử dụng?

  • Khi bạn liên kết đến trang web bên ngoài mà không muốn tiết lộ trang gốc.
  • Khi trang đích không đáng tin cậy và có nguy cơ thu thập thông tin từ referrer.

Sự khác biệt giữa Noopener và Nofollow

Thuộc tính Mục đích Ảnh hưởng đến SEO Khi nào sử dụng?
Noopener Ngăn trang web đích truy cập vào trang gốc Không ảnh hưởng Khi mở liên kết trong tab mới để tăng bảo mật
Nofollow Ngăn công cụ tìm kiếm theo dõi liên kết Không truyền link juice (giá trị liên kết) Khi liên kết đến trang web không đáng tin cậy hoặc liên kết quảng cáo

Ví dụ về Nofollow:

html

<a href=”https://example.com” rel=”nofollow”>Liên kết không theo dõi</a>

Trong đoạn mã trên, công cụ tìm kiếm như Google sẽ không đi theo liên kết và không truyền giá trị SEO cho trang đích.

Tóm lại, Noopener chủ yếu nhằm bảo mật, trong khi Nofollow chủ yếu nhằm kiểm soát SEO. Nếu bạn muốn đảm bảo an toàn cho người dùng, hãy luôn sử dụng Noopener với các liên kết mở trong tab mới.

Cách kiểm tra một liên kết có sử dụng Noopener không?

Bạn có thể kiểm tra bằng một số cách sau:

Kiểm tra mã nguồn trang

  • Nhấn chuột phải vào liên kết và chọn Kiểm tra phần tử (Inspect Element).
  • Kiểm tra xem trong thuộc tính rel của thẻ <a> có chứa “noopener” không.

Sử dụng công cụ kiểm tra trình duyệt

  • Mở Developer Tools trong Chrome (F12 hoặc Ctrl + Shift + I).
  • Vào tab Elements và tìm các thẻ <a> có target=”_blank”.
  • Nếu không thấy rel=”noopener”, liên kết đó có thể không an toàn.

Những lưu ý khi sử dụng Noopener

  • Tự động áp dụng trên trình duyệt hiện đại

Hầu hết các trình duyệt hiện nay, như Chrome và Firefox, sẽ tự động thêm Noopener khi sử dụng target=”_blank”, ngay cả khi bạn không chỉ định rõ ràng. Tuy nhiên, để đảm bảo an toàn, vẫn nên thêm thuộc tính này theo cách thủ công.

  • Không ảnh hưởng đến SEO

Noopener không ảnh hưởng đến thứ hạng tìm kiếm của trang web, vì nó không tác động đến việc công cụ tìm kiếm thu thập thông tin hay đánh giá liên kết.

  • Luôn sử dụng với các liên kết mở tab mới

Khi đặt target=”_blank”, luôn thêm rel=”noopener” để bảo vệ trang web khỏi các cuộc tấn công XSS hoặc giả mạo trang web.

Kết luận

Noopener là một thuộc tính quan trọng giúp bảo vệ trang web khỏi các cuộc tấn công nguy hiểm khi mở liên kết trong tab mới. Việc sử dụng Noopener giúp ngăn chặn các trang web lạ kiểm soát cửa sổ trình duyệt của bạn, từ đó đảm bảo an toàn cho cả chủ sở hữu trang web và người dùng. Bên cạnh đó, nếu bạn muốn bảo vệ quyền riêng tư của người dùng, bạn có thể kết hợp Noopener với Noreferrer. Ngoài ra, cần phân biệt rõ Noopener và Nofollow để sử dụng đúng mục đích, tránh nhầm lẫn giữa bảo mật và SEO.

Xem thêm:

Bài viết cùng chủ đề:

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *