超連結是很多編輯器都會有的功能,CKEditor 也不例外
讓你在編輯內容中可以插入像是下方的連結
<a href="連結在此">我是超連結</a>當文章中的連結會導向至其他網站時
這個時候網站通常會在新視窗中開啟連結,讓使用者可以保留原有可能還未閱讀完畢的頁面
而想要讓連結在新視窗中開啟,只需要在 a 標籤中加入 target="_blank" 就可以達成
<a href="連結在此" target="_blank">我是會在新視窗開啟的超連結</a>但是 target="_blank" 這個屬性,其實潛藏一個安全性問題
當你在 A 網站點擊使用 target="_blank" 的連結時,在新視窗開啟的 B 網站可以透過 JavaScript 來操作 A 網站
最簡單的例子就是下面這行 JavaScript 程式碼
window.opener.location = '可能是惡意的網站連結';只要 B 網站頁面上有包含這行程式碼
當你點開 B 網站時,A 網站就會自動轉址至 window.opener.location 設定的連結,有可能是釣魚頁面或是其他惡意的網站
為了避免這個安全問題,在使用 target="_blank" 時,通常會需要在加入 rel="noreferrer noopener" 這個屬性
<a href="連結在此" target="_blank" rel="noreferrer noopener">我是會在新視窗開啟的超連結</a>如此一來,就可以避免 window.opener.location 造成的安全性問題
可以參考這個影片,說明非常清楚
將 CKEditor 的超連結加入 target="_blank" 與 rel="noreferrer noopener"
想要在 CKEditor 的超連結中加入 target="_blank" 與 rel="noreferrer noopener"
官方文件中有說明這部分,只需要在 ckeditor.js 中設定並使用 npm 重新 build 即可
ClassicEditor.defaultConfig = {
link: {
decorators: {
isExternal: {
mode: "automatic",
// 符合正則就不加入 attributes,這裡通常設定自己網站的連結
callback: (url) => /^(https?:)?\/\/(?!website\.com)/.test(url),
// 連結加入 target="_blank" 與 rel="noopener noreferrer"
attributes: {
target: "_blank",
rel: "noopener noreferrer",
},
},
},
},
}rel 屬性通常還會加上 nofollow,用來告訴搜尋引擎不要將流量導向至這個網站
避免有人試圖在高流量的網站中添加連結來提昇自身網站的流量
參考資料:
[掘竅] 為什麼要使用 rel="noreferrer noopener",談 target="_blank" 的安全性風險
金艾吉說:noopener與noreferrer
3 個常常令人誤會的連結語法:Nofollow,Noreferrer,Noopener
維基百科條目 - nofollow
