target="_blank" без noopener: уязвимость window.opener и простой фикс
Почему внешние ссылки в новой вкладке могут управлять исходной страницей и что добавить в rel.
Ссылка с `target="_blank"` без `rel="noopener"` даёт новой странице доступ к `window.opener` — возможен tabnabbing и редирект исходной вкладки.
Современные браузеры часто подставляют noopener implicitly, но явный `rel="noopener noreferrer"` остаётся best practice.
- rel="noopener" — MDN — Поведение и совместимость.
- Link types: noreferrer — MDN — Referrer и opener.
CMS
Добавьте rel автоматически в rich-text renderer для всех external + target=_blank ссылок.
Для affiliate не путайте noreferrer с потерей UTM — иногда нужен только noopener.