引言:你真的理解 rel="noopener noreferrer" 吗?
在日常开发中,你一定见过这样的代码:
<a href="https://example.com" target="_blank" rel="noopener noreferrer">外部链接</a>很多开发者(包括一些资深工程师)只是“习惯性”地加上 rel="noopener noreferrer",却并不清楚:
- 这两个值分别解决什么问题?
- 是否必须同时使用?
- 它们对 SEO 有影响吗?
- 和
nofollow又是什么关系?
更危险的是,错误的使用可能导致安全漏洞、性能下降,甚至隐私泄露。
本文将从浏览器机制、安全模型、SEO 策略、性能影响四个维度,彻底讲清这三大 rel 属性的本质、区别与最佳实践。
一、target="_blank" 的隐患:你以为只是新窗口打开?
当你写:
<a href="https://example.com" target="_blank">点击我</a>看似无害,实则埋下两颗“定时炸弹”。
⚠️ 隐患 1:window.opener 权限泄露(安全漏洞)
当 A 页面通过 target="_blank" 打开 B 页面时,B 页面可以通过 window.opener 访问 A 页面的 window 对象!
这意味着,如果 B 是恶意网站(例如 https://evil-example.com),它可以:
// 在恶意站点中执行
if (window.opener) {
window.opener.location = 'https://phishing-site.com'; // 强制跳转原页面!
}→ 用户以为还在你的网站,实际已被劫持到钓鱼页面!
这就是著名的 “反向 tabnabbing” 攻击。
⚠️ 隐患 2:性能拖累(资源竞争)
即使目标页面是善意的(如 https://example.com),它仍可能与你的页面共享同一个进程(在部分浏览器中)。如果该页面运行 heavy JS 或存在内存泄漏,会拖慢甚至崩溃你的页面。
二、rel="noopener":切断 window.opener 的救命稻草
✅ 作用
- 完全断开新页面与原页面的 JavaScript 上下文连接
window.opener在新页面中返回null- 新页面运行在独立进程(Chromium 系)或独立线程,避免性能干扰
🌐 浏览器支持
- Chrome 49+(2016)
- Firefox 52+(2017)
- Safari 10.1+(2017)
- Edge(所有版本,因基于 Chromium)
💡 注意:Safari 在早期版本中不支持
noopener,但可通过noreferrer间接实现类似效果(见下文)。
✅ 正确用法
<a href="https://example.com" target="_blank" rel="noopener">安全外部链接</a>✅ 这是所有
target="_blank"外部链接的最低安全要求!
三、rel="noreferrer":隐藏来源 + 兼容旧 Safari
✅ 作用
- 阻止 HTTP Referer 头发送:目标网站无法知道用户从哪个页面跳转而来
- 在旧版 Safari 中,也能切断
window.opener(因为早期 Safari 不支持noopener)
🔍 技术细节
- 当使用
noreferrer时,浏览器不会在请求头中包含Referer字段 - 同时,新页面的
window.opener也被设为null(副作用)
⚠️ 副作用:影响分析数据
- Google Analytics、友盟等统计工具将无法追踪该链接的来源
- 目标网站(如
https://example.com)的访问日志中,来源(Referrer)为空
✅ 何时需要?
- 链接到你不信任的第三方网站
- 需要保护用户隐私(如医疗、金融类网站)
- 需兼容 Safari < 10.1(2017 年前设备,如今已极少见)
📊 截至 2026 年,全球 Safari < 10.1 占比 < 0.1%,绝大多数场景只需
noopener即可。
四、rel="nofollow":SEO 指令,与安全无关!
这是最容易被混淆的属性!
✅ 作用
- 告诉搜索引擎:“不要将此链接的权重(PageRank)传递给目标页面”
- 常用于:用户生成内容(评论、论坛)、广告链接、不可信链接
❌ 常见误解
- ❌ “
nofollow能防止 XSS” → 错!它只影响爬虫,不影响浏览器行为 - ❌ “加了
nofollow就安全” → 错!安全靠noopener,不是nofollow
✅ 正确组合示例
<!-- 广告链接:不传递权重 + 安全打开 -->
<a href="https://example.com"
target="_blank"
rel="noopener nofollow">广告</a>
<!-- 用户评论中的链接:防垃圾 SEO + 安全 -->
<a href="https://example.com"
target="_blank"
rel="noopener ugc">用户评论</a>💡 补充:Google 还支持
rel="ugc"(用户生成内容)和rel="sponsored"(赞助链接),语义更精准。
五、终极决策指南:一张表搞定所有场景
| 链接类型 | 是否 target="_blank" | 必须的 rel 属性 | 说明 |
|---|---|---|---|
| 站内链接(同域) | 否 | 无 | 无需特殊处理 |
| 可信外部链接(如 example.com) | 是 | noopener | 安全 + 性能 |
| 不可信/用户生成外部链接 | 是 | noopener nofollow | 安全 + 防 SEO 污染 |
| 广告/赞助链接 | 是 | noopener sponsored | 符合 Google 规范 |
| 需隐藏来源的敏感链接 | 是 | noopener noreferrer | 隐私优先 |
| 旧项目需兼容 Safari < 10.1 | 是 | noopener noreferrer | 兼容性兜底 |
✅ 黄金法则:只要用了
target="_blank",至少加rel="noopener"!
六、自动化检测与修复
1. Lighthouse 审计
Google Lighthouse 会明确提示:“Links to cross-origin destinations are unsafe” —— 如果缺少 noopener。
2. ESLint / HTMLLint 规则
可配置规则强制检查:
// .eslintrc.js
"jsx-a11y/no-noninteractive-tabindex": "error",
"react/jsx-no-target-blank": "error" // React 项目3. 构建时自动注入(Webpack/Vite 插件)
使用 html-webpack-plugin 配合自定义模板,自动为指向 https://example.com 等外部域名的链接添加 rel="noopener"。
七、常见 Q&A
Q1:rel="noopener" 会影响新页面的功能吗?
A:不会。新页面(如 https://example.com)自身功能完全正常,只是无法访问原页面的 window 对象。
Q2:能否用 JavaScript 模拟 noopener?
A:可以,但不推荐:
const win = window.open('https://example.com', '_blank', 'noopener,noreferrer');→ 仍建议用 HTML 原生属性,更可靠、可读、SEO 友好。
Q3:<a> 不加 target="_blank" 就安全了吗?
A:是的!只有 target="_blank" 才会创建 window.opener 关系。普通链接无此风险。
结语:小属性,大责任
rel="noopener" 看似只是一个小小的 HTML 属性,但它背后是Web 安全模型的重要一环。作为开发者,我们有责任:
- 保护用户不被钓鱼
- 保障自家网站性能不受第三方拖累
- 正确传递 SEO 信号
下次再写外部链接时,请记住:
“凡
target="_blank",必加rel="noopener"。”
这不是“最佳实践”,而是安全底线。
