Per offrirti un'esperienza di navigazione sempre migliore, questo sito utilizza cookie propri e di terze parti, partner selezionati. I cookie di terze parti potranno anche essere di profilazione.
Le tue preferenze si applicheranno solo a questo sito web. Puoi modificare le tue preferenze in qualsiasi momento ritornando su questo sito o consultando la nostra informativa sulla riservatezza.
E' possibile rivedere la nostra privacy policy cliccando qui e la nostra cookie policy cliccando qui.
Per modificare le impostazioni dei cookies clicca qui
  • seguici su feed rss
  • seguici su twitter
  • seguici su linkedin
  • seguici su facebook
  • cerca

SEI GIA' REGISTRATO? EFFETTUA ADESSO IL LOGIN.



ricordami per 365 giorni

HAI DIMENTICATO LA PASSWORD? CLICCA QUI

NON SEI ANCORA REGISTRATO ? CLICCA QUI E REGISTRATI !

L'attributo rel noopener e noreferrer in HTML5. La sicurezza al primo posto.

di :: 19 febbraio 2018
L'attributo rel noopener e noreferrer in HTML5. La sicurezza al primo posto.

L'attributo "rel" viene utilizzato nei i tags <a>, e <link>, e serve a descrivere il tipo di relazione presente tra la risorsa attuale (la pagina in cui l'utente si trova) e quella linkata.

"rel=noopener" viene utilizzato nei tag <a> per motivi di sicurezza, assieme a noreferrer.

<a href='http://www.ilsito.it' rel='noopener noreferrer' target='_blank'>Sito XYZ</a>

I link <a> che prevedono l'apertura del link in una nuova finestra, o in un nuovo tab, attraverso l'utilizzo del targer "_blank", espongono gli utenti ad un rischio di sicurezza: stiamo parlando del phishing.

Il phishing  uno stratagemma per indurre gli utenti a rivelare, con l'inganno, informazioni personali o finanziarie, ad esempio attraverso l'uso una pagina che in apparenza sembra in tutto e per tutta una pagina del sito che stiamo pensando di navigare... mentre invece è una pagina creata ad arte da un hacker per catturare dati sensibili (per esempio la carta di credito).

Perchè siamo a rischio phishing? Perchè la pagina aperta utilizzando il "target_blank", ha una relazione con la pagina di provenienza (la pagina dove è inserito il link), e questa relazione può essere sfruttata tramite l'utilizzo javascript per avere parziale accesso a quest’ultima. Ad un programmatore di sito web, che lavora in javascript, capita spesso, di dover inserire link a una nuova finestra e poi da questa nuova finestra richiamare una funzione presente nella finestra che l'ha generata: questo in javascript è possibile utilizzando un "window.opener".

Questa possibilità potrebbe essere utilzzata anche da un hacker utilizzando una tecnica di "Reverse Tabnabbing".
Nella pagina aperta potrebbe inserire uno script come questo: lo script dice di sostituire alla pagina che conteneva il link la pagina di google!

<script>window.opener.location = 'https://www.nuovosito.it';</script>

Un hacker potrebbe utilizzare questa nota vulnerabilità del "target_blank" per sostituire la tua pagina con una sua pagina identica alla tua: l'utente non se ne accorgebbe e potrebbe inserire in questa pagina suoi dati sensibili: il pishing è avvenuto!

Utilizziamo quindi noopener quando vogliamo impedire alla pagina aperta di utilizzare via javascript il "window.opener".

In abbinamento ad "noopener", sempre per ragioni di sicurezza, e per ragioni di privacy di navigazione, si utilizza "noreferrer"

"noreferrer" Impedisce il passaggio alla nuova pagina dei "referral data", cioè di informazioni relative al sito di origine, come la url di provenienza, eventuali termini di ricerca utilizzati per arrivare in questa pagina, ora e data....

In questo modo molti tool di analisi dati dei siti web, utilizzati dai webmaster, non possono tracciare in maniera completa il traffico dei siti stessi.

Potrebbe interessarti

 
 
ULTIMI ARTICOLI

Come prevenire attacchi di tipo CSRF in un sito già esistente, in PHP: parte 2

Come prevenire attacchi di tipo CSRF in un sito già esistente, in PHP: parte 1

Le interfacce in PHP

Le classi astratte e i metodi astratti, in PHP

Le costanti di una classe in PHP

Come estendere una classe in PHP ed il concetto di ereditarietà.

Le proprietà e i metodi STATICI in PHP

Il metodo costruttore in PHP

Come sostituire un valore in una stringa in javascript

Come eliminare l'ultimo carattere di una stringa in javascript

Lo spread operator in Javascript

Come destrutturare oggetti ed array in Javascript

 
PIU' LETTI

Utilizzo di CRONTAB per schedulare processi (con esempi) sotto Linux

Verifichiamo lo spazio su disco in Linux con il comando "df" e le sue opzioni

Conoscere lo spazio su disco occupato da un file o una directory in Linux: il comando du e le sue opzioni

Come abilitare HTTPS su webserver Apache, step by step

Migrare un sito da HTTP a HTTPS: la guida definitiva

Come utilizzare cURL in PHP per effettuare chiamate in GET o POST ad un webservice, o per catturare il contenuto di una pagina web.

I principali fattori di posizionamento per il 2018

Gestire le partizioni di un disco da riga di comando, con fdisk.

Come configurare il server web Apache in Linux per mettere subito on line le tue pagine web!

Come visualizzare i processi attivi, in Linux: il comando ps

 
pay per script

Hai bisogno di uno script PHP personalizzato, di una particolare configurazione su Linux, di una gestione dei tuoi server Linux, o di una consulenza per il tuo progetto?

CONTATTACI
x

ATTENZIONE