Firefox i Safari již své uživatele proti tab-nabbingu chrání, Chrome (Chromium a všechny další odvozené) dostane ochranu s verzí 88. Ta bude vydána v lednu 2021.
Tab-nabbing spočívá ve zneužití nepozornosti uživatele, kdy po čase přepíše již existující panel (dříve načtenou stránku) v prohlížeči svým obsahem, díky čemuž například získá od uživatele následně jeho citlivé údaje. Google ve své implementaci ochrany cílí na konkrétní scénář útoku, kdy zákeřná stránka může přepsat obsah stránky (panelu prohlížeče), ze které je načtena (obligátní parametr pro načtení target=_blank
). Škodlivý kód, v tomto případě v JavaScriptu, může být jednoduché použití funkce window.opener
, které následně v původním panelu podstrčí uživateli škodlivou stránku, která se může tvářit jako původní.
V posledních letech bylo ze strany vývojářů prohlížečů doporučováno tvůrcům webů použití rel="noopener"
jako obrana proti tomuto problému všude, kde je použit atribut target=_blank
. Dnes je ale internet plný stránek, které jsou opuštěné, či jejichž tvůrci toto neimplementovali. Prohlížeče Apple a Mozilla tedy již od roku 2018 dělají to, že všem nově otvíraným panelům v prohlížeči automaticky přidávají rel="noopener"
. Chrome v lednu dožene skluz.