加 rel=”noopener noreferrer” 主要为解决安全和性能问题,非强制但强烈推荐:noopener 防止新页面通过 window.opener 劫持原页面并窃取信息,同时避免页面间隐式耦合导致的性能拖累;noreferrer 则额外阻止 Referer 头泄露敏感路径或用于跨站追踪。
window.opener 劫持(安全问题)
不加这个属性时,新打开的页面可以通过 javaScript 访问原页面的 window.opener 对象,进而:
加上 noopener 后,新页面的 window.opener 会被设为 NULL,彻底切断这种访问能力。
避免性能拖累(页面加载与内存)
不加 noopener 时,浏览器会默认维持两个页面之间的隐式连接:
noopener 断开这种耦合,让两个页面真正独立运行。
noreferrer 是额外的隐私保护(可选但建议)
noreferrer 的作用是阻止 Referer 头发送,即新页面无法知道你是从哪个 URL 点进去的。它不解决安全问题,但:
- 防止敏感路径(如带 Token 的 URL)泄露给第三方站点
- 避免跨站追踪(比如广告或分析平台通过 Referer 收集跳转来源)
注意:noreferrer 会同时禁用 referrerpolicy,如果需要更精细控制(比如只隐藏路径不隐藏域名),可用 referrerpolicy="no-referrer" 替代。
兼容性与写法建议
现代浏览器(chrome 49+、firefox 52+、edge 79+、safari 12.1+)都支持 noopener;noreferrer 兼容性更好。写法上:
- 推荐组合写:
rel="noopener noreferrer" - 如果只关心安全,至少写
rel="noopener" - 不要只写
noreferrer(它不等价于noopener,旧版 Chrome 中仍存在 opener 漏洞) - 服务端渲染或 cms 输出链接时,应默认自动注入该属性
不复杂但容易忽略,加一行就多一层保障。