Recommended Posts

Решил добавить в верхнее меню ЛК позицию "ЛК в Яндекс.Недвижимость" (ссылка на сторонний ресурс для администратора), чтобы не копаться в дебрях Яндекса. Понятное дело, решил прилепить к ней target="_blank", и попутно, наткнулся на статью о небезопасности подобного решения...

Поскольку похожих ссылок на сайте достаточно и логично сделать переход на сторонние ресурсы через промежуточную стрнаницу с текстом типа: "Вы переходите на сторонний ресурс, кликните на ссылку (ссылка на ресурс) или вы будете переадресованы автоматически через 3 сек." Но клиентов обычно это напрягает, куда-то дополнительно кликать, чего-то ждать...

Решил воспользоваться решением проблемы через rel="noopener" и пока ссылки в user_menu.tpl выглядят так (может кому пригодится):

{if $smarty.session.current_user_group_name eq 'admin'}
<li><a title="Раздел Администратора" href="{$estate_folder}/admin/">АДМИНКА</a></li>
<li><a title="Личный кабинет в Яндекс.Недвижимость" href="https://compartner.realty.yandex.ru/feeds?from=email_wm_lk" target="_blank" rel="noopener">ЯН</a></li>
{/if}
<li><a title="Добавить новое объявление" href="{$estate_folder}/account/data/?do=new">{$L_ADD_ADV}</a></li>
<li><a title="Мои объявления" href="{$estate_folder}/account/data/">{$L_MY_ADVS}</a></li>
{if $mysearch_panel ne ''}<li><a title="Мой поиск" href="{$estate_folder}/mysearch/">{$mysearch_panel}</a></li>{/if}
{if $mailbox_panel ne ''}<li><a title="Мои сообщения" href="{$estate_folder}/mailbox/">{$mailbox_panel}</a></li>{/if}
{if $app_company_namespace ne ''}<li><a title="Мои компании" href="{$estate_folder}/{$app_company_namespace}/my/">Мои компании</a></li>{/if}
{if $realtylogv2_on==1}<li><a title="Корзина" href="{$estate_folder}/{$realtylogv2_namespace}/trash/">Корзина ({$trash_count})</a></li>{/if}
<li><a title="Мой баланс" href="{$estate_folder}/account/balance/">{$L_MY_BALANCE} {$ballance} ₽</a></li>
<li><a title="Мой профиль" href="{$estate_folder}/account/profile/">{$L_MY_PROFILE}</a></li>

Но остается вопрос, как правильнее поступить, чтобы не получать частичный контроль над своими ссылающимися страницами через js свойство window.opener со стороны сторонних страниц, на которые осуществляется переход? Я наблюдаю, что тот-же Вордпресс последние полгода автоматически цепляет ко всем внутренним и внешним ссылкам на страницах сайта rel="noopener"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если сделать таргет=бланк на страницу яндекса, то опасаться зловредных действий с его стороны наверное не стоит. имхо тут главное соблюсти баланс паранойи. если у вас есть возможность простановки ссылок куда-попало, например юзеры могут добавлять какие-то ссылки в описание или они как-то неконтроллируемо добавляются, то стоит искать варианты как такие ссылки выводить. Но если вы самостоятельно даете ссылки на респектабельные сайты, то возможно и не стоит тут бить тревогу.

 

....автоматически цепляет ко всем внутренним и внешним

Видимо они тоже прочли эту статью и решили самым глобальным способом подстраховаться. Хотя возможно в самой структуре ВП заложено то, что никогда не знаешь откуда взялась страница под ссылкой и возможно ее автор зашил там фишинговый код в каком-то виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: Evgeny
      Всем привет.
      Сайт gm36.ru
      Требуется сделать ссылку c характеристики объявления "Жилой комплекс", точнее одного из параметров таблиц структуры data -> complex_id . Сейчас он выводится в виде текста, а надо чтоб был ссылкой на ЖК
      Скрин: http://prnt.sc/em0vj0
       

    • Автор: mavleds
      Как решить проблему, при подтверждении регистрации по email выводится ошибка 500
      при этом если обновить страницу то сайт загружается и учетка становится подтвержденной
      сервер apache2+nginx
    • Автор: kkkv39
      Добрый день!
      Не подскажете, почему не работает вывод адреса ссылки, например подобным образом:
      <?php echo 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']; ?> просто ничего не выводит.
      Надо вывести на странице realty_view
      Спасибо!
    • Автор: shra75
      Ребята, наверняка кто-то сталкивался уже, когда пишешь ссылку в тексте под объявлением, а она зараза некликабельная, кто эту дурь вылечил и как?