target=“_blank“ mit nutzergeneriertem Inhalt ist gefährlich

Wenn eine Seite via target=“_blank“ in einem neuen Tab geöffnet wird, hat sie Zugriff auf das vorhergehende window-Objekt und kann z.B. heimliche Weiterleitungen machen. Abhilfe schafft rel=“noopener“ in Chrome/Opera und rel=“noreferrer“ in älteren Browsern. Details.

Nachtrag 30.08.2016: Schönes Beispiel.