WordPress目前在最近的版本中为所有需要新窗口打开的链接都自动添加了新的 noopener noreferrer 属性。noopener noreferrer 属性并不是新发布的标准,但 WordPress 4.7.4 版开始的编辑器默认都会添加该属性。新窗口打开超链接的属性 target=”_blank” 增加 rel=”noopener noreferrer” 可以堵住钓鱼网站的安全漏洞。如果你只是在链接上使用 target="_blank"属性,而不加上rel="noopener noreferrer"属性,那么你就让用户暴露在一个非常简单的钓鱼攻击之下。为了告知来自于不受保护的站点的用户,我们运行一个利用了这个缺陷的脚本。
WordPress 在新窗口链接中自动添加 noopener noreferrer 属性,主要就是用来防范新窗口打开链接时可能存在的钓鱼攻击, 因此WordPress是作为安全性内容自动添加的。
在 WordPress 4.7.4 版本以上搭建的站点中,新发布的文章或者是你修改了之前发布的文章,那么,新窗口链接全部会自动添加 noopener noreferrer。
如果你不希望WordPRess自动添加 noopener noreferrer,可以使用下面的解决方法:
// 这是WordPress v4.7.4版的新安全性功能,除非必要否则不建议添加此段代码
// 请将此段代码添加到你的主题的function.php底部,然后保存并上传即可
add_filter('tiny_mce_before_init','tinymce_allow_unsafe_link_target');
function tinymce_allow_unsafe_link_target( $mceInit ) {
$mceInit['allow_unsafe_link_target']=true;
return $mceInit;
}
注意事项:添加之后新发布文章时,新窗口打开的链接将不会再自动添加 noopener noreferrer 属性。但是,之前发布的文章已经添加了该属性的,即使添加这段代码之后,也不会自动去除的,还是需要手动编辑删除该属性。
