Hi,
ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt.
Fragen:
Was bedeutet das?
Ist das richtig so - oder gar nötig?
(Okay, das dient der Vermeidung von Manipulationen bei target=_blank - habe ich gegoogled)
Wenn es gut und richtig ist, kann das der CKEditor auch (automatisch)?
TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Interessant! Kannte ich noch nicht. Schau ich mir gerne mal an.frase wrote:ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt.
Christoph M. Becker – Plugins for CMSimple_XH
Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Haha, wieder ein Argument gegen "_blank" .
Aber eigentlich ist das IMO ein Problem der Browserhersteller. Beim aktuellen FF funktioniert diese Art von Angriff zumindest nicht. Ganz sicher ist die Lösung mit "noopener" und "noreferer" eh nicht, da auch das nicht voll von allen Browsern unterstützt wird.
Meiner Meinung nach hilft gegen diese Lücke nur etwas wie das hier: https://github.com/danielstjules/blankshield
Allen Links mit "target_"blank" werden damit über einen temporär eingeschleusten Iframe geöffnet, der anschließend wieder entfernt wird. Damit gibt es dann die aufrufende Seite nicht mehr und dadurch kann sie dann logischerweise auch nicht mehr manipuliert werden.
Keine Ahnung, da müsste ich erst einmal suchen. Sicherlich kann man dem CK das auch irgendwie beibringen, zur Not mit einem angepassten Link-Plugin.frase wrote:Wenn es gut und richtig ist, kann das der CKEditor auch (automatisch)?
Aber eigentlich ist das IMO ein Problem der Browserhersteller. Beim aktuellen FF funktioniert diese Art von Angriff zumindest nicht. Ganz sicher ist die Lösung mit "noopener" und "noreferer" eh nicht, da auch das nicht voll von allen Browsern unterstützt wird.
Meiner Meinung nach hilft gegen diese Lücke nur etwas wie das hier: https://github.com/danielstjules/blankshield
Allen Links mit "target_"blank" werden damit über einen temporär eingeschleusten Iframe geöffnet, der anschließend wieder entfernt wird. Damit gibt es dann die aufrufende Seite nicht mehr und dadurch kann sie dann logischerweise auch nicht mehr manipuliert werden.
Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Hallo Frankfrase wrote:Hi,
ich habe gerade festgestellt, dass der Tiny4 Links in den Artikeln (Realblog) das Attribut: rel="noopener noreferrer" hinzufügt....?
Danke für die Entdeckung. Das macht der Tiny4 seit 4.5.0 stillschweigend automatisch (hier die Geschichte dazu).
Kann mit allow_unsafe_link_target:true; abgeschaltet werden.
Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Und das beste, das ich bisher gehört habe (auch wenn ich andere Gegenargumente durchaus auch gut finde).Holger wrote:Haha, wieder ein Argument gegen "_blank" .
Bei noreferrer bin ich nicht sicher, aber das ist eigentlich etwas anderes, und nicht unbedingt erwünscht. Der Support für noopener ist allerdings wirklich mau.Holger wrote:Ganz sicher ist die Lösung mit "noopener" und "noreferer" eh nicht, da auch das nicht voll von allen Browsern unterstützt wird.
Das macht einen guten Eindruck, und würde sich wohl auch leicht auf alle Links (nicht nur solche, die mit dem Editor erzeugt werden) anwenden lassen. Scheint mir eine gute Idee für ein AddOn.Holger wrote:Meiner Meinung nach hilft gegen diese Lücke nur etwas wie das hier: https://github.com/danielstjules/blankshield
Christoph M. Becker – Plugins for CMSimple_XH
Re: TinyMCE4 - Links rel="noopener noreferrer" - CKEditor?
Ab Januar 2019 müssen wir uns vielleicht keine Gedanken mehr zu "noopener" oder "target="_blank" machen.
Zumindest im Firefox. Die anderen Browser werden vermutlich nachziehen - falls es etwas bringt.
Zumindest im Firefox. Die anderen Browser werden vermutlich nachziehen - falls es etwas bringt.