使用rel=noopener

解决什么问题

假设你当前在浏览一个页面，上面有个连接（多是用户输入的）：

[点击](http://keenwon.com/)

在新打开的标签页经过window.opener ，能够得到当前页面的window 。这样的话，http://keenwon.com （被打开的页面）将得到当前页面的部分控制权，即便新打开的页面是跨域的也照样能够（例如location 就不存在跨域问题）。
你们试试这个demo( http://keenwon.com/demo/201603/noopener.html )，demo只是跳到了百度首页，可是若是跳到了钓鱼网站呢？直接提示用户登陆，而此时用户注意力集中在新开标签页里，极可能不会注意到原页面在后台的变化。

rel=noopener 新特性

在chrome 49+，Opera 36+，打开添加了rel=noopener的连接，window.opener 会为null。在老的浏览器中，能够使用 rel=noreferrer 禁用HTTP头部的Referer属性，使用下面JavaScript代替target='_blank' 的解决此问题：

var otherWindow = window.open('http://keenwon.com');
otherWindow.opener = null;
otherWindow.location = url;

使用window.open 打开页面，手动剑opener设置为null。