Google 크롬은 새 탭이나 창에서 리디렉션을 차단하여 '탭 낮잠'을 완화하는 새로운 보안 조치를 취하고 있습니다.
웹사이트에서 링크를 클릭할 때 두 가지 동작 중 하나를 관찰했을 수 있습니다. 즉, 링크가 동일한 탭에서 열리거나 새 탭/창에서 열립니다. 웹사이트 작성자는 다음을 추가하여 이 동작을 제어할 수 있습니다. 타겟="_공백" 새 탭에서 열려고 하는 URL에 속성을 지정합니다. 이 속성은 클릭 시 링크가 새 탭에서 열리도록 브라우저에 지시합니다. 하지만 속성에는 알려진 보안 문제 새로 열린 페이지가 JavaScript를 사용하여 다른 URL로 리디렉션되도록 합니다. 리디렉션된 URL은 악성 코드가 포함된 웹사이트나 피싱 페이지일 수 있으므로 이는 심각한 위협이 됩니다. 이 문제를 해결하기 위해 Chrome에는 새로운 보안 조치가 적용됩니다.
최근 보고된 바에 따르면 Bleeping컴퓨터 설명하자면, 웹사이트 작성자는 이미 다음을 사용하여 새 탭이 JavaScript를 사용하여 다른 URL로 리디렉션되는 것을 방지할 수 있습니다. rel="noopener" HTML 링크 속성. 그러나 target="_blank" 속성이 있는 모든 링크에 수동으로 속성을 추가해야 합니다. 2018년에는 애플이 변경했습니다 Safari에서는 target="_blank"를 활용한 HTML 링크에 noopener 속성을 자동으로 암시합니다. 덕분에 작성자가 rel="noopener" 속성을 사용하지 않은 경우에도 브라우저는 자동으로 새 탭을 보호했습니다. 지난주 Microsoft Edge 개발자 Eric Lawrence는 동일한 기능을 구현했습니다 크롬에서. 즉, Microsoft Edge, Google Chrome, Brave 등과 같은 모든 Chromium 기반 브라우저에도 도입될 예정입니다.
보안 조치에 관한 의견에서 로렌스는 다음과 같이 말했습니다.
"피해자 컨텍스트에 의해 열린 새 탭/창이 해당 열기를 탐색할 수 있는 "탭 낮잠" 공격을 완화하기 위해 컨텍스트에서 HTML 표준은 target_blank가 |rel="noopener"|처럼 동작해야 하는 앵커를 지정하도록 변경되었습니다. ~이다 세트. 이 동작을 거부하려는 페이지에서는 |rel="opener"|"를 설정할 수 있습니다.
새로운 보안 조치는 현재 Chrome Canary 채널에서 활성화되어 있으며 내년 1월 Chrome 88을 통해 안정적인 채널로 진출할 것으로 예상됩니다. 앞서 언급했듯이 이 기능은 기본적으로 HTML 링크에 "noopener" 속성을 암시합니다. target="_blank" 지정하지 않는 한 페이지가 JavaScript를 사용하여 새 페이지로 리디렉션되는 것을 방지합니다. 그렇지 않으면.
이 새로운 보안 조치는 Google이 Chrome의 제로데이 취약점 2개를 패치한 지 불과 며칠 만에 나온 것입니다. 다음을 통해 이러한 취약점에 대해 자세히 알아볼 수 있습니다. 이 링크.