target=_blank без window.opener: rel=noopener
tabnabbing и noreferrer.
`<a href="https://partner.com" target="_blank" rel="noopener noreferrer">` закрывает доступ новой вкладки к `window.opener` — защита от tabnabbing.
Современные браузеры подразумевают noopener для target=_blank, но rel оставляйте явно для старых.
- rel=noopener — MDN — Безопасность.
- Reverse tabnabbing — OWASP — Угроза.
noreferrer
`noreferrer` не передаёт Referer — плюс приватность, минус для партнёрской аналитики.