Biome项目中关于noBlankTarget规则的安全增强探讨

背景介绍

在现代Web开发中，<a>标签的target="_blank"属性使用非常普遍，它可以让链接在新标签页中打开。然而，这种看似简单的功能背后却隐藏着潜在的安全风险。Biome作为一款现代化的前端工具链，其lint规则中的noBlankTarget正是为了解决这类安全问题而设计的。

安全问题分析

当使用target="_blank"时，新打开的页面可以通过window.openerAPI访问原始页面的window对象。这意味着：

1. 新页面可以重定向原始页面到不受信任的网站
2. 可能利用性能API获取原始页面的信息
3. 可能导致标签页钓鱼攻击(tabnabbing)

现有解决方案

Biome当前的noBlankTarget规则要求开发者必须同时添加rel="noreferrer noopener"属性。其中：

• noopener：阻止新页面访问window.opener
• noreferrer：阻止发送Referer头，同时隐含了noopener的功能

改进建议

社区提出了一个合理的改进建议：应该允许开发者仅使用noopener属性作为安全防护的最低要求。这是因为：

1. noreferrer的主要功能是隐私保护而非安全防护
2. 在某些业务场景下，Referer头是必要的
3. noopener已经足以解决主要的安全问题

技术实现方案

建议的改进方案是调整allowReferrer选项的行为：

• 当allowReferrer: true时：接受noreferrer noopener或仅noopener
• 当allowReferrer: false时：仅接受noopener

这种设计更加符合实际安全需求，为开发者提供了更灵活的选择，同时不降低安全性标准。

最佳实践建议

基于这一改进，我们建议开发者：

1. 始终为新窗口链接添加noopener
2. 仅在需要隐藏Referer时添加noreferrer
3. 考虑使用工具自动添加这些安全属性
4. 定期审计项目中的外部链接

总结

Biome的这一规则改进体现了对Web安全实践的深入思考。通过提供更精细化的控制选项，既保证了安全性，又兼顾了开发灵活性。这种平衡正是现代前端工具应该追求的目标。