17370845950

加 rel="noopener noreferrer" 主要为解决安全和性能问题，非强制但强烈推荐：noopener 防止新页面通过 window.opener 劫持原页面并窃取信息，同时避免页面间隐式耦合导致的性能拖累；noreferrer 则额外阻止 Referer 头泄露敏感路径或用于跨站追踪。

加 rel="noopener noreferrer" 主要是为了解决安全和性能两个实际问题，不是“必须”但强烈推荐，尤其在使用 target="_blank" 时。

防止 window.opener 劫持（安全问题）

不加这个属性时，新打开的页面可以通过 JavaScript 访问原页面的 window.opener 对象，进而：

• 调用 window.opener.location.replace() 把原页面跳转到钓鱼网站
• 读取原页面的 URL、DOM 或 Cookie（如果同源）
• 执行恶意脚本，形成“反向 XSS”攻击路径

加上 noopener 后，新页面的 window.opener 会被设为 null，彻底切断这种访问能力。

避免性能拖累（页面加载与内存）

不加 noopener 时，浏览器会默认维持两个页面之间的隐式连接：

• 新页面能同步访问原页面的 JS 执行上下文
• 原页面的事件循环、内存回收可能被新页面意外阻塞
• 某些浏览器中，原页面无法进入“后台冻结”状态，影响电池和性能

noopener 断开这种耦合，让两个页面真正独立运行。

noreferrer 是额外的隐私保护（可选但建议）

noreferrer 的作用是阻止 Referer 头发送，即新页面无法知道你是从哪个 URL 点进去的。它不解决安全问题，但：

• 防止敏感路径（如带 token 的 URL）泄露给第三方站点
• 避免跨站追踪（比如广告或分析平台通过 Referer 收集跳转来源）

注意：noreferrer 会同时禁用 referrerpolicy，如果需要更精细控制（比如只隐藏路径不隐藏域名），可用 referrerpolicy="no-referrer" 替代。

兼容性与写法建议

现代浏览器（Chrome 49+、Firefox 52+、Edge 79+、Safari 12.1+）都支持 noopener；noreferrer 兼容性更好。写法上：

• 推荐组合写：rel="noopener noreferrer"
• 如果只关心安全，至少写 rel="noopener"
• 不要只写 noreferrer（它不等价于 noopener，旧版 Chrome 中仍存在 opener 漏洞）
• 服务端渲染或 CMS 输出链接时，应默

  

  认自动注入该属性

不复杂但容易忽略，加一行就多一层保障。