Pues era un tema que desconocía hasta que lo vi ayer en el blog de Chema Alonso, pero por lo que veo lleva rulando al menos desde el mes de mayo. ¿De qué estoy hablando? Te comento con un ejemplo (aunque puedes leerlo mejor explicado en los links previos): supongamos que quieres que un link se abra en una nueva pestaña, así que le pones target=»_blank». Al hacerlo de esta forma la página que has abierto en la nueva pestaña, mediante el selector window.opener puede modificar cosas a base de Javascript en la página desde la que se abrió el enlace. La mayoría de navegadores modernos limitan las posibilidades de esto y bloquean muchas de las acciones invocadas desde la ventaja hija sobre la padre, pero lo que se han dejado sin proteger es que dicha ventana hija puede acceder a la propiedad window.opener.location, y de esta forma mandarnos a una página desde la que hacer un ataque de phising.
¿Solución? Bueno, si es un enlace basta con el modificador noopener y el noreferrer:
<a href="paginanueva.html" target="_blank" rel="noopener noreferrer"/>
El noreferrer es necesario porque Mozilla Firefox no soporta noopener.
¿Y qué pasa si abrimos la ventana mediante Javascript utilizando el método window.open()? Pues que nos encontramos la misma vulnerabilidad. ¿Cómo la solucionamos? Tal que así (copio este ejemplo):
var newWnd = window.open(); newWnd.opener = null;
DonnierocK 
Muy buena información, pero te hago una consulta la propiedad «noopener» permite la transferencia de la fuerza de dominio, en el caso que se este dejando un enlace para favorecer el SEO de mi web. O es como lo propiedad «No follow»?
Fantástico artículo Sico aunque para rizar el rizo tengo la misma duda que Franco, estaría bien esta saber si estos modificadores afectan en términos de SEO. Un abrazo.
Buen articulo, yo llevo con el desde que abrí el blog con el noopener noreferrer, queda comentar que aparte de estas etiquetas puedes añadir el nofollow o el follow, asi dejamos el enlace listo para nuestra elección. 😉
Aquí te dejo un ejemplo;
Espero que te guste, cordiales saludos.
Señores según he leído esto no afecta la parte del Seo como el “nofollow”, así que se puede usar en conjunto con el “nofollow” para evitar la transferencia de fuerza o no usar el “nofollow” para dar fuerza al otro dominio.
Muy interesante, no lo conocía. A partir de ahora habrá que añadir eso en los enlaces para asegurar.