Logo van Google Chrome op een smartphone

Google Chrome blokkeert begin volgend jaar JavaScript redirects

Laatst bijgewerkt: 18 november 2020
Leestijd: 3 minuten, 33 seconden

Google werkt aan een nieuwe functionaliteit voor haar webbrowser. Chrome zet het HTML-attribuut target=”_blank” automatisch om in rel=”noopener”. Daarmee kunnen kwaadwillenden niet langer via een JavaScript bezoekers doorsturen naar een andere pagina dan waar ze aanvankelijk op hadden geklikt. De feature is vooralsnog alleen beschikbaar in Google Canary en kunnen we waarschijnlijk in januari 2021 verwachten in de stabiele versie van Googles webbrowser.

Microsoft Edge ontwikkelaar Eric Lawrence heeft deze nieuwe functionaliteit toegevoegd aan Chromium, zo ontdekte BleepingComputer.

Dit moet je weten over het attribuut target=”_blank”

Webredacteuren, content managers, copywriters en marketeers willen bezoekers zo lang mogelijk op hun website houden (ook wel dwell time genoemd). Het is een indicatie dat bezoekers de content waarderen, en al helemaal als ze in de toekomst vaker terugkeren naar de site. Bovendien is de kans groter dat iemand tot conversie overgaat naarmate hij langer blijft hangen op een pagina (denk aan een bestelling plaatsen, aanmelden voor de nieuwsbrief, een whitepaper downloaden).

Een veelgebruikte methode om bezoekers langer op een website te houden, is door de HTML-attribuut target=”_blank” toe te voegen aan een URL. De webbrowser weet dan dat hij de pagina die in de anchor-tekst wordt genoemd in een nieuw tabblad moet openen. De pagina van jouw site blijft dan actief en als de bezoeker het nieuwe tabblad afsluit, is jouw pagina het eerste dat hij ziet.

Target=”_blank” attribuut heeft een bekend beveiligingsprobleem

Het target=”_blank” attribuut heeft echter een bekend veiligheidsprobleem. Als een bezoeker op een link klikt met dit attribuut, kan het nieuwe tabblad een JavaScript activeren waardoor hij opnieuw naar een pagina wordt doorgestuurd. Een andere pagina dan hij oorspronkelijk wilde bezoeken. Deze zogeheten redirect kan van alles zijn: een onschuldige Rickroll, maar ook een kwaadaardige phishingpagina of site die malware installeert op je computer.

Target=”_blank” kan dus misbruikt worden door cybercriminelen die hier een slaatje uit willen slaan. Gelukkig bestaat er een oplossing voor dit risico. De redacteur of marketeer voegt een extra attribuut toe aan de URL: rel=”noopener”. Een JavaScript kan dan niet langer bezoekers omleiden naar malafide pagina’s. Een URL ziet er dan als volgt uit:

<p>De website <a href=”https://www.vpngids.nl” target=”_blank” rel=”noopener”>VPNGids.nl</a>

Chromium neemt nu ook stappen tegen ‘tab-napping’

Niet alle webredacteuren en online marketeers nemen de moeite om rel=”noopener” toe te voegen aan hun URL’s. In 2018 bedacht Apple daar iets op. Safari, de webbrowser van het Amerikaanse technologiebedrijf, behandelt links met target=”_blank” attribuut sindsdien automatisch als rel=”noopener”, ook al is deze niet toegevoegd aan de URL. Gebruikers kunnen dus met een gerust hart surfen op het internet.

Afgelopen week heeft Microsoft Edge ontwikkelaar Erik Lawrence deze feature toegevoegd aan Chromium. Chromium is het opensourceproject van Google dat de broncode voor de webbrowser Chrome bevat. Iedereen die een eigen webbrowser wil ontwikkelen mag er gebruik van maken. Grote technologiebedrijven als Microsoft, Brave, Vivaldi en Opera maken daar dankbaar gebruik van.

“Om te voorkomen dat tabbladen worden overgenomen (tab-napping), waarbij een nieuw tabblad wordt geopend door een slachtoffer die naar een andere pagina wil navigeren, is de HTML-standaard aangepast zodat anchors met target=”_blank” attribuut zich moeten gedragen als rel=”noopener” attribuut. Een pagina die zich hiervoor wil afmelden, moet een rel=”opener” attribuut instellen”, zo schrijft Lawrence.

Begin 2021 blokkeert Google JavaScript redirects

De nieuwe feature is nog niet beschikbaar voor alle Chrome-gebruikers. Op het moment van schrijven is hij enkel ontgrendeld in Chrome Canary. Naar verwachting kunnen we in januari 2021, als Google Chrome-versie 88 lanceert, ermee aan de slag.

Google heeft meerdere release channels voor sommige van zijn applicaties. Dat geldt onder meer voor Chrome. De webbrowser Chrome die we op onze smartphone gebruiken, is de eindversie of stabiele versie. Daarnaast heeft Google ook Chrome Alpha, Chrome Beta en Chrome Canary. Chrome Alpha betekent dat de webbrowser bijna stabiel is, inclusief nieuwe functies. In Chrome Beta zijn nieuwe features verwerkt waar Google aan werkt, maar werken nog niet naar behoren. Het kan dus voorkomen dat de browser onverwachts crasht.

Chrome Canary is bedacht voor ontwikkelaars die als eerste de nieuwste features willen testen en feedback achterlaten. Deze versie van Googles webbrowser is de minst stabiele en daarom niet geschikt voor iedereen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen