TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
frase
Posts: 2414
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by frase » Wed Feb 22, 2017 1:54 pm

Hi,
ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt.

Fragen:
Was bedeutet das?
Ist das richtig so - oder gar nötig?
(Okay, das dient der Vermeidung von Manipulationen bei target=_blank - habe ich gegoogled)

Wenn es gut und richtig ist, kann das der CKEditor auch (automatisch)?

cmb
Posts: 13016
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by cmb » Wed Feb 22, 2017 3:07 pm

frase wrote:ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt.
Interessant! Kannte ich noch nicht. Schau ich mir gerne mal an.
Christoph M. Becker –Plugins for CMSimple_XH

Holger
Site Admin
Posts: 2924
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by Holger » Wed Feb 22, 2017 3:21 pm

Haha, wieder ein Argument gegen "_blank" ;) .
frase wrote:Wenn es gut und richtig ist, kann das der CKEditor auch (automatisch)?
Keine Ahnung, da müsste ich erst einmal suchen. Sicherlich kann man dem CK das auch irgendwie beibringen, zur Not mit einem angepassten Link-Plugin.

Aber eigentlich ist das IMO ein Problem der Browserhersteller. Beim aktuellen FF funktioniert diese Art von Angriff zumindest nicht. Ganz sicher ist die Lösung mit "noopener" und "noreferer" eh nicht, da auch das nicht voll von allen Browsern unterstützt wird.

Meiner Meinung nach hilft gegen diese Lücke nur etwas wie das hier: https://github.com/danielstjules/blankshield
Allen Links mit "target_"blank" werden damit über einen temporär eingeschleusten Iframe geöffnet, der anschließend wieder entfernt wird. Damit gibt es dann die aufrufende Seite nicht mehr und dadurch kann sie dann logischerweise auch nicht mehr manipuliert werden.

manu
Posts: 707
Joined: Wed Jun 04, 2008 12:05 pm
Location: St. Gallen - Schweiz
Contact:

Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by manu » Wed Feb 22, 2017 4:32 pm

frase wrote:Hi,
ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt....?
Hallo Frank
Danke für die Entdeckung. Das macht der Tiny4 seit 4.5.0 stillschweigend automatisch (hier die Geschichte dazu).
Kann mit allow_unsafe_link_target:true; abgeschaltet werden.

cmb
Posts: 13016
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by cmb » Wed Feb 22, 2017 6:30 pm

Holger wrote:Haha, wieder ein Argument gegen "_blank" ;) .
Und das beste, das ich bisher gehört habe (auch wenn ich andere Gegenargumente durchaus auch gut finde).
Holger wrote:Ganz sicher ist die Lösung mit "noopener" und "noreferer" eh nicht, da auch das nicht voll von allen Browsern unterstützt wird.
Bei noreferrer bin ich nicht sicher, aber das ist eigentlich etwas anderes, und nicht unbedingt erwünscht. Der Support für noopener ist allerdings wirklich mau.
Holger wrote:Meiner Meinung nach hilft gegen diese Lücke nur etwas wie das hier: https://github.com/danielstjules/blankshield
Das macht einen guten Eindruck, und würde sich wohl auch leicht auf alle Links (nicht nur solche, die mit dem Editor erzeugt werden) anwenden lassen. Scheint mir eine gute Idee für ein AddOn.
Christoph M. Becker –Plugins for CMSimple_XH

frase
Posts: 2414
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?

Post by frase » Fri Nov 30, 2018 2:48 pm

Ab Januar 2019 müssen wir uns vielleicht keine Gedanken mehr zu "noopener" oder "target="_blank" machen.
Zumindest im Firefox. Die anderen Browser werden vermutlich nachziehen - falls es etwas bringt.

Post Reply