加 rel="noopener noreferrer" 主要为解决安全和性能问题,非强制但强烈推荐:noopener 防止新页面通过 window.opener 劫持原页面并窃取信息,同时避免页面间隐式耦合导致的性能拖累;noreferrer 则额外阻止 Referer 头泄露敏感路径或用于跨站追踪。
加 rel="noopener noreferrer" 主要是为了解决安全和性能两个实际问题,不是“必须”但强烈推荐,尤其在使用 target="_blank" 时。
防止 window.opener 劫持(安全问题)
不加这个属性时,新打开的页面可以通过 JavaScript 访问原页面的 window.opener 对象,进而:
- 调用
window.opener.location.replace()把原页面跳转到钓鱼网站 - 读取原页面的 URL、DOM 或 Cookie(如果同源)
- 执行恶意脚本,形成“反向 XSS”攻击路径
加上 noopener 后,新页面的 window.opener 会被设为 null,彻底切断这种访问能力。
避免性能拖累(页面加载与内存)
不加 noopener 时,浏览器会默认维持两个页面之间的隐式连接:
- 新页面能同步访问原页面的 JS 执行上下文
- 原页面的事件循环、内存回收可能被新页面意外阻塞
- 某些浏览器中,原页面无法进入“后台冻结”状态,影响电池和性能
noopener 断开这种耦合,让两个页面真正独立运行。
noreferrer 是额外的隐私保护(可选但建议)
noreferrer 的作用是阻止 Referer 头发送,即新页面无法知道你是从哪个 URL 点进去的。它不解决安全问题,但:
- 防止敏感路径(如带 token 的 URL)泄露给第三方站点
- 避免跨站追踪(比如广告或分析平台通过 Referer 收集跳转来源)
注意:noreferrer 会同时禁用 referrerpolicy,如果需要更精细控制(比如只隐藏路径不隐藏域名),可用 referrerpolicy="no-referrer" 替代。
兼容性与写法建议
现代浏览器(Chrome 49+、Firefox 52+、Edge 79+、Safari 12.1+)都支持 noopener;noreferrer 兼容性更好。写法上:
- 推荐组合写:
rel="noopener noreferrer" - 如果只关心安全,至少写
rel="noopener" - 不要只写
noreferrer(它不等价于noopener,旧版 Chrome 中仍存在 opener 漏洞) - 服务端渲染或 CMS 输出链接时,应默认自动注入该属性
不复杂但容易忽略,加一行就多一层保障。
