Servus!

Hallo Robert,

das hier war/ist die bekannteste Schwäche: https://owasp.org/www-community/attacks/Reverse_Tabnabbing die in den gängisten Browsern gefixt wurde.

Genau:

„Update 2023 - this is fixed in modern, evergreen, browsers“

Es wird aber allgemein empfohlen, immer rel zu setzen, wenn man das target-Attribute setzt. Die gängisten html-Sanitizer filtern/löschen deshalb auch weiterhin das target-Attribute aus einem html-String.

Noch mal, es ging nicht darum, dass target-Attribut zu setzen oder gar einen html-sanitizer einzusetzen, sondern zu erklären, warum sich ein HTML-Dokument in einem neuen Fenster öffnet:

es öffnet sich der Link immer extern als ganze Seite.

Ein solcher Link sieht wohl so aus^[1]:

<a href="http://www.example.com/html" target="_blank">

Das target="_blank" bewirkt, dass die Seite in einem neuen Fenster geöffnet wird.
Das lässt man heute eigentlich weg, weil das der Nutzer selbst entscheiden soll.

Insgesamt ist das wieder so ein Thread, in dem ein Anfänger nicht die richtige Terminologie verwendet, die Experten aber zuerst mit den längst ausgestorbenen frames oder anderem Spezialwissen kommen.

Grad heut' hab ich wieder diesen Thread aus 2007^[2] gelesen:

Zum guten Schluß noch ein Wort an diejenigen, die hier schon seit mehreren Jahren teilnehmen: …

Auch erwarten wir von euch, dass ihr erst Lösungsvorschläge für das beschriebene Problem macht und dann erst auf die Untauglichkeit diverser Techniken (Tabellenlayout, Frames) hinweist. Wenn der Mensch zunächst eine Antwort auf die Frage bekommt, die er gestellt hat, fühlt er sich ernst genommen und dann ist er meistens deutlich offener für Vorschläge, die diejenigen Probleme lösen, die aus einem eventuell doch nicht so guten Ansatz heraus entstehen.

Herzliche Grüße

Matthias Scharwies