Получить профессию в Skypro
Как открывать ссылки в новой вкладке: безопасность и лучшие практики
Для кого эта статья:
- Веб-разработчики, как начинающие, так и опытные
- Специалисты по безопасности веб-приложений
Люди, интересующиеся улучшением пользовательского опыта на сайтах
Каждый разработчик рано или поздно сталкивается с необходимостью открыть ссылку в новой вкладке браузера. Кажется, что нет ничего проще — добавил атрибут
target="_blank"и готово. Но за этой простотой скрываются тонкости, влияющие на безопасность сайта и пользовательский опыт. От правильной настройки HTML-ссылок зависит не только удобство навигации, но и защита пользователей от потенциальных уязвимостей. Давайте разберёмся, как грамотно использоватьtarget="_blank"и какие нюансы нужно учесть профессиональному веб-разработчику. 🔗
Если вы только начинаете свой путь в веб-разработке или хотите углубить свои знания HTML и CSS, обратите внимание на Обучение веб-разработке от Skypro. Курс охватывает не только базовые аспекты создания ссылок с
target="_blank", но и комплексные вопросы безопасности, современные стандарты вёрстки и JavaScript. Вы получите практические навыки от экспертов индустрии, которые помогут вам создавать безопасные и удобные для пользователей веб-сайты.
Что такое атрибут target="_blank" и когда его использовать
Атрибут target="_blank" — это специальный параметр HTML-тега <a>, который указывает браузеру, как именно открывать ссылку. Когда пользователь кликает по ссылке с этим атрибутом, содержимое открывается в новой вкладке или окне браузера, не закрывая текущую страницу.
Правильное использование этого атрибута может существенно улучшить пользовательский опыт на вашем сайте. Давайте рассмотрим, когда целесообразно применять target="_blank":
- При переходе на внешние ресурсы — пользователь сможет просмотреть содержимое другого сайта, не покидая вашу страницу
- Для документации и справочных материалов — удобно, когда инструкция остаётся открытой в отдельной вкладке
- При работе с административными панелями — чтобы не потерять текущий контекст работы
- Для PDF-документов, изображений и других медиафайлов — которые требуют отдельного просмотра
- При открытии форм регистрации или входа — особенно если они могут прервать текущий процесс на сайте
| Сценарий использования | С target="_blank" | Без target="_blank" |
|---|---|---|
| Ссылки на внешние сайты | ✅ Пользователь остаётся на вашем сайте | ❌ Пользователь покидает ваш сайт |
| Документация и руководства | ✅ Возможность параллельного чтения | ❌ Прерывание основного потока работы |
| Файлы для скачивания | ✅ Основная страница сохраняется | ❌ Переход на страницу скачивания |
| Внутренние ссылки сайта | ❌ Может запутать пользователя | ✅ Ожидаемое поведение для навигации |
Однако не стоит злоупотреблять этим атрибутом. Исследования показывают, что чрезмерное использование target="_blank" может дезориентировать пользователей, особенно если речь идёт о внутренней навигации по сайту. Пользователи привыкли, что внутренние ссылки открываются в текущей вкладке, а внешние — на усмотрение разработчика.
Алексей Морозов, фронтенд-разработчик
Однажды я работал над крупным образовательным порталом, где все ссылки открывались в новых вкладках. Логика заказчика была проста: "Мы не хотим, чтобы студенты покидали наш сайт". На практике это привело к тому, что у пользователей открывалось по 15-20 вкладок за одну сессию — они терялись и закрывали сайт полностью.
После проведения A/B-тестирования мы изменили поведение: внутренние ссылки стали открываться в той же вкладке, внешние — в новой. Результат? Время на сайте увеличилось на 23%, а количество просмотренных страниц выросло на 17%. Иногда лучшее решение — следовать ожиданиям пользователей, а не создавать свои правила.
Синтаксис HTML-ссылок для открытия в новой вкладке
Базовый синтаксис для создания ссылки, которая откроется в новой вкладке, предельно прост. Всё, что требуется — добавить атрибут target="_blank" к стандартному тегу <a>:
<a href="https://example.com" target="_blank">Текст ссылки</a>
Такая запись заставит браузер открыть ссылку https://example.com в новой вкладке или окне, в зависимости от настроек браузера пользователя. Однако, чтобы избежать потенциальных проблем с безопасностью, рекомендуется дополнить код атрибутом rel="noopener noreferrer", о котором поговорим в следующем разделе.
Полный, безопасный вариант синтаксиса выглядит так:
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Текст ссылки</a>
Вот несколько вариаций использования атрибута target="_blank" для разных случаев:
- Обычная текстовая ссылка:
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Посетить сайт</a>
- Ссылка на изображении:
<a href="https://example.com" target="_blank" rel="noopener noreferrer"><img src="image.jpg" alt="Описание"></a>
- Ссылка на скачивание файла:
<a href="document.pdf" target="_blank" rel="noopener noreferrer">Скачать PDF</a>
- Ссылка с подсказкой:
<a href="https://example.com" target="_blank" rel="noopener noreferrer" title="Открывается в новой вкладке">Подробнее</a>
Обратите внимание на последний пример. Добавление атрибута title поможет пользователю понять, что ссылка откроется в новой вкладке. Это повышает удобство использования сайта, особенно для тех, кто не замечает иконки внешних ссылок или другие визуальные подсказки. 🔍
Для лучшей доступности и понятности интерфейса, можно также добавлять визуальные индикаторы для ссылок, открывающихся в новых вкладках:
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Текст ссылки <span class="external-link-icon">↗️</span></a>
Атрибут rel="noopener noreferrer" и безопасность сайта
Когда вы используете target="_blank" без дополнительных атрибутов безопасности, вы неосознанно создаете потенциальную уязвимость. Новая вкладка, открытая через target="_blank", получает доступ к объекту window.opener, который ссылается на окно, из которого была открыта ссылка. Это создает два серьезных риска:
- Уязвимость производительности — открытая страница может запускать ресурсоёмкие скрипты, замедляющие работу исходной страницы
- Уязвимость безопасности — открытая страница может изменить URL исходной страницы через
window.opener.location, потенциально перенаправляя пользователя на фишинговый сайт
Для защиты от этих угроз используются два важных значения атрибута rel:
- noopener — блокирует доступ к объекту
window.opener, предотвращая манипуляции с исходной страницей - noreferrer — скрывает информацию о том, с какой страницы пришёл пользователь (не передаёт HTTP-заголовок Referer)
Правильное использование выглядит так:
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Безопасная ссылка</a>
| Атрибут | Функция | Поддержка браузерами | Рекомендуется использовать |
|---|---|---|---|
rel="noopener" | Блокирует доступ к window.opener | Chrome 49+, Firefox 52+, Safari 10.1+, Edge 79+ | ✅ Да |
rel="noreferrer" | Скрывает Referer-заголовок | Все современные браузеры | ✅ Да (для конфиденциальности) |
rel="nofollow" | Указывает поисковикам не следовать по ссылке | Поддерживается поисковыми системами | ⚠️ Опционально (для SEO) |
| Без атрибутов rel | Создаёт уязвимость | – | ❌ Не рекомендуется |
Важно отметить, что в современных версиях Chrome, Firefox и Safari атрибут target="_blank" автоматически применяет noopener, даже если вы его не указали явно. Однако для обратной совместимости со старыми браузерами и для максимальной защиты всегда рекомендуется добавлять полный набор атрибутов безопасности.
Мария Соколова, специалист по кибербезопасности
В 2020 году я консультировала финансовую компанию, которая столкнулась с необычной фишинговой атакой. Клиенты жаловались, что после посещения официального блога компании, где были внешние ссылки, их перенаправляло на поддельные страницы входа.
При аудите кода мы обнаружили, что все внешние ссылки открывались через
target="_blank"без атрибутаrel="noopener". Злоумышленники создали специальный сайт, который определял, открыт ли он черезwindow.opener, и если да, то менял URL родительской страницы на фишинговый клон. Клиенты даже не замечали подмены, так как перенаправление происходило в уже открытой вкладке.После добавления
rel="noopener noreferrer"ко всем внешним ссылкам атака была полностью нейтрализована. Этот случай показывает, как небольшая деталь в HTML-коде может иметь серьезные последствия для безопасности пользователей.
Альтернативные значения атрибута target в HTML
Помимо широко используемого target="_blank", HTML предлагает и другие значения атрибута target, которые могут быть полезны в различных сценариях. Рассмотрим основные варианты и их применение:
- _self — открывает ссылку в том же фрейме/окне, где была нажата (значение по умолчанию)
- _blank — открывает ссылку в новой вкладке или окне браузера
- _parent — открывает ссылку в родительском фрейме; если родительского фрейма нет, работает как
_self - _top — открывает ссылку в полном окне браузера, отменяя все фреймы
- имя_фрейма — открывает ссылку в именованном фрейме или создаёт новую вкладку с этим именем
Вот практические примеры использования различных значений target:
<!-- Открывает ссылку в текущей вкладке (поведение по умолчанию) -->
<a href="https://example.com" target="_self">Открыть в текущей вкладке</a>
<!-- Открывает ссылку в новой вкладке -->
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Открыть в новой вкладке</a>
<!-- Для работы с фреймами (в контексте iframe) -->
<a href="https://example.com" target="_parent">Открыть в родительском фрейме</a>
<!-- Открывает в полном окне, отменяя все фреймы -->
<a href="https://example.com" target="_top">Открыть в полном окне</a>
Особенно интересна возможность использования именованных целей. Когда вы указываете произвольное имя в атрибуте target, браузер проверяет, существует ли уже окно или фрейм с таким именем. Если да, то ссылка открывается там. Если нет — создаётся новая вкладка с этим именем.
Это позволяет создавать "группы" ссылок, которые будут открываться в одной и той же вкладке:
<!-- Первая ссылка создаст новую вкладку с именем "documentation" -->
<a href="https://docs-example.com/intro" target="documentation">Введение</a>
<!-- Эта ссылка откроется в той же вкладке "documentation" -->
<a href="https://docs-example.com/chapter1" target="documentation">Глава 1</a>
В этом примере все ссылки с target="documentation" будут открываться в одной и той же вкладке, а не создавать новую каждый раз. Это удобно для документации, справочных материалов или когда вы хотите группировать определённый контент в отдельной вкладке. 📑
Распространённые ошибки при создании ссылок в новых вкладках
Даже опытные разработчики иногда допускают ошибки при работе с ссылками, открывающимися в новых вкладках. Рассмотрим наиболее распространённые проблемы и способы их избежать:
- Игнорирование атрибутов безопасности
Использование
target="_blank"безrel="noopener noreferrer"создаёт уязвимость, которой могут воспользоваться злоумышленники.
<!-- Неправильно -->
<a href="https://example.com" target="_blank">Небезопасная ссылка</a>
<!-- Правильно -->
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Безопасная ссылка</a>
- Чрезмерное использование
target="_blank"Открытие всех ссылок в новых вкладках, включая внутренние, может запутать пользователей и привести к нагромождению вкладок.
<!-- Избегайте этого для внутренних ссылок -->
<a href="/contact" target="_blank">Контакты</a>
<!-- Лучше использовать для внешних ресурсов -->
<a href="https://external-site.com" target="_blank" rel="noopener noreferrer">Партнёры</a>
- Отсутствие визуального индикатора Пользователи должны понимать, что ссылка откроется в новой вкладке, иначе это может их дезориентировать.
<!-- Добавьте визуальный индикатор -->
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Внешняя ссылка ↗️</a>
Непоследовательность в поведении ссылок Ссылки одного типа должны вести себя одинаково на всем сайте. Нарушение этого правила может запутать пользователей.
Игнорирование доступности Некоторые пользователи с ограниченными возможностями могут быть дезориентированы новыми вкладками без предупреждения.
<!-- Добавьте предупреждение для скринридеров -->
<a href="https://example.com" target="_blank" rel="noopener noreferrer" aria-label="Внешняя ссылка, открывается в новой вкладке">Документация</a>
Одна из самых сложно выявляемых ошибок связана с использованием JavaScript для открытия новых вкладок, особенно в обработчиках событий:
<!-- Неправильный подход -->
<a href="#" onclick="window.open('https://example.com'); return false;">Открыть ссылку</a>
Такой подход лишает пользователей возможности открывать ссылки правым кликом или средней кнопкой мыши, а также создаёт проблемы с доступностью. Вместо этого всегда используйте стандартные HTML-атрибуты:
<!-- Правильный подход -->
<a href="https://example.com" target="_blank" rel="noopener noreferrer">Открыть ссылку</a>
Ещё одна распространённая ошибка — использование target="_blank" для загрузки файлов. Для скачивания файлов лучше использовать атрибут download, который сообщает браузеру, что ресурс нужно скачать, а не открывать:
<!-- Для скачивания файлов -->
<a href="document.pdf" download>Скачать PDF</a>
Работа с HTML-ссылками и атрибутом target="_blank" — отличный пример того, как даже в простых элементах веб-разработки скрываются важные нюансы. Теперь вы знаете, что правильное использование этого атрибута не только улучшает пользовательский опыт, но и защищает ваш сайт от потенциальных уязвимостей. Помните о безопасности, добавляя rel="noopener noreferrer", следите за последовательностью в интерфейсе и давайте пользователям понятные индикаторы того, как будет вести себя ссылка. Эти небольшие детали значительно повышают качество вашей работы и доверие пользователей к вашему сайту.