rel="noopenernoreferrer"的作用及必要性解析

小伙伴们对文章编程感兴趣吗？是否正在学习相关知识点？如果是，那么本文《rel="noopener noreferrer" 主要解决的是 安全性和性能问题，特别是在使用 标签的 target="_blank" 时。1. 防止恶意网站劫持（security issue）当用户点击一个带有 target="_blank" 的链接时，新页面会在新标签页中打开。如果没有加上 rel="noopener"，攻击者可以通过 JavaScript 操控原页面（比如修改 window.opener），从而进行钓鱼、恶意跳转等行为。举个例子： 如果 A 网站有一个链接指向 B 网站，并且使用了 target="_blank"，而 B 网站在新页面中写入了以下代码：window.opener.location = "https://malicious-site.com";那么用户原本在 A 网站的页面就会被重定向到恶意网站，这会带来严重的安全风险。2. 防止内存泄漏和性能问题（performance issue）如果不加 rel="noopener"，新打开的页面可以访问原页面的 window.opener 对象，这可能会导致内存泄漏或性能下降，特别是当新页面包含大量脚本或资源时。3. 是否必须加？强烈建议加：如果你的链接是用 target="_blank" 打开外部网站，**必须加上 rel="noopener"》，就很适合你，本篇文章讲解的知识点主要包括。在之后的文章中也会多多分享相关知识点，希望对大家的知识积累有所帮助！

加 rel="noopener noreferrer" 主要为解决安全和性能问题，非强制但强烈推荐：noopener 防止新页面通过 window.opener 劫持原页面并窃取信息，同时避免页面间隐式耦合导致的性能拖累；noreferrer 则额外阻止 Referer 头泄露敏感路径或用于跨站追踪。

加 rel="noopener noreferrer" 主要是为了解决安全和性能两个实际问题，不是“必须”但强烈推荐，尤其在使用 target="_blank" 时。

防止 window.opener 劫持（安全问题）

不加这个属性时，新打开的页面可以通过 JavaScript 访问原页面的 window.opener 对象，进而：

• 调用 window.opener.location.replace() 把原页面跳转到钓鱼网站
• 读取原页面的 URL、DOM 或 Cookie（如果同源）
• 执行恶意脚本，形成“反向 XSS”攻击路径

加上 noopener 后，新页面的 window.opener 会被设为 null，彻底切断这种访问能力。

避免性能拖累（页面加载与内存）

不加 noopener 时，浏览器会默认维持两个页面之间的隐式连接：

• 新页面能同步访问原页面的 JS 执行上下文
• 原页面的事件循环、内存回收可能被新页面意外阻塞
• 某些浏览器中，原页面无法进入“后台冻结”状态，影响电池和性能

noopener 断开这种耦合，让两个页面真正独立运行。

noreferrer 是额外的隐私保护（可选但建议）

noreferrer 的作用是阻止 Referer 头发送，即新页面无法知道你是从哪个 URL 点进去的。它不解决安全问题，但：

• 防止敏感路径（如带 token 的 URL）泄露给第三方站点
• 避免跨站追踪（比如广告或分析平台通过 Referer 收集跳转来源）

注意：noreferrer 会同时禁用 referrerpolicy，如果需要更精细控制（比如只隐藏路径不隐藏域名），可用 referrerpolicy="no-referrer" 替代。

兼容性与写法建议

现代浏览器（Chrome 49+、Firefox 52+、Edge 79+、Safari 12.1+）都支持 noopener；noreferrer 兼容性更好。写法上：

• 推荐组合写：rel="noopener noreferrer"
• 如果只关心安全，至少写 rel="noopener"
• 不要只写 noreferrer（它不等价于 noopener，旧版 Chrome 中仍存在 opener 漏洞）
• 服务端渲染或 CMS 输出链接时，应默认自动注入该属性

不复杂但容易忽略，加一行就多一层保障。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《rel="noopenernoreferrer"的作用及必要性解析》文章吧，也可关注golang学习网公众号了解相关技术文章。