「10.1.1 編集フォーム」

target="_blank"で新しいページを開くときには、セキュリティ上の小さな問題があります。

対処方法は、リンク用のaタグのrel (relationship) 属性に、"noopener"と設定するだけです。

---

<a href="http://hogehoge" target="_blank" rel="noopener">クリック</a>

セキュリティ上の小さな問題、はフィッシング詐欺などの手口と関係している。

【フィッシング詐欺などの手口】
１．サイトAから target="_blank" でサイトBを開く
　　（新たにタブが作成され、移動する）
２．サイトBの中で、サイトAを任意のURL（サイトA'）に遷移させる
　　処理を実行する。例えば、サイトAと酷似したログイン画面のページへ
　　遷移させる。
３．偽ログイン画面のサイトA'で、ユーザー情報を入力させる。
４．ユーザーが入力すると、あたかも正規のサイトでログインが成功
　　したかのようにサイトAへ遷移を戻す。

この問題への対応として rel="noopener" を指定することで、２が実行されなくなる。なるほどなぁ。