SEO-Glossar: rel=“noopener noreferrer“

 

rel-Attribut Noopener: Sicherheitslücke im JavaScript schließen

Das rel-Attribut Noopener dient dazu, eine Sicherheitslücke im JavaScript zu egalisieren. Um zu verstehen, wie dies funktioniert, sei zunächst der Aufruf einer Seite über einen Link erklärt:

 

• User besuchen eine Website A und lesen auf einer der Unterseiten einen Text. Sie finden in dem Text einen Link zu weiterführenden Inhalten auf einer anderen Website B und klicken darauf.
• Der Betreiber der Website A möchte den Usern durch die Verlinkung der Inhalte von Website B Mehrwert bieten und setzt deswegen den Link, doch er möchte seine User nicht verlieren. Daher nutzt er bei der Verlinkung folgenden Befehl: target=“_blank“.
• Durch diesen Befehl weiß der Browser Bescheid, dass er den Link zur verlinkten Website B in einem neuen Browser-Tab öffnen soll. Der Vorteil für den Betreiber der Website A hierbei ist, dass seine Seite nach wie vor im vorigen Tab geöffnet bleibt und die User mit höherer Wahrscheinlichkeit auf seine Website zurückkehren werden.
• Beim Öffnen des zweiten Tabs tut sich jedoch eine Sicherheitslücke auf. Die Browser arbeiten nämlich mit der folgenden JavaScript-Eigenschaft bzw. dem folgenden Befehl: [window.opener]. Leider ist diese JavaScript-Eigenschaft ein Einfallstor für Hacker.
• Die Hacker könnten mit dem einfachen Befehl [window.open.location] und der Angabe einer falschen URL die Nutzer auf falsche Websites weiterleiten. Zudem könnten sich die Hacker Zugriff auf den Quellcode der Website A verschaffen und diesen manipulieren, was die Website funktionsuntüchtig machen könnte.

 

Dieses Problem der mangelnden Sicherheit tut sich bei externen Verlinkungen auf, bei denen durch den Befehl target=“_blank“ eine verlinkte Seite in einem neuen Browser-Tab aufgerufen werden soll. Bei einem externen Link, der in demselben Browser-Tab wie dem Tab der Website A geöffnet wird, tritt dieses Sicherheitsdefizit nicht auf.

 

Folgerichtig sind alle Website-Betreiber und SEO-Experten, die die Anker-Tags von externen Links mit dem Befehl target=“_blank“ ausstatten, zu einer Nutzung des Attributs rel noopener aufgerufen. Hier ein Beispiel dafür, wie das Attribut rel noopener in der HTML-Sprache zu setzen ist:

 

 

rel noopener steigert nicht nur die Sicherheit der eigenen Website, sondern schützt auch die eigenen Website-Besucher vor Schäden durch Hacker-Eingriffe über [window.open.location] und falsche URLs. Es ist einer der wichtigsten Sicherheitsaspekte beim Setzen externer Links im Linkbuilding.

 

Für alle internen Links und speziell für jene externen Links, bei denen die verlinkte Seite nicht in einem neuen Tab des Browsers öffnet, muss rel noopener hingegen nicht genutzt werden.

 

Bei bereits bestehenden Websites, die externe Links mit dem Befehl target=“_blank“, aber ohne das Attribut rel noopener haben, ist eine Anpassung erforderlich: Im Nachhinein müssen alle externen Links mit rel noopener ausgestattet werden. Dies für sämtliche Links durchzuführen, hat in der Regel einen enormen Aufwand zur Folge.

 

Für einige Content-Management-Systeme (CMS), wie z. B. das System WordPress, sind Plugins entwickelt worden, mit deren Hilfe sich HTML-Attribute wie rel noopener nachträglich einsetzen lassen. Ein Beispiel für ein solches Plugin für WordPress ist das Plugin „Add Target Fixer“.

 

 

Ankertags mit rel-Attribut noreferrer: Herkunft des Links verschleiern

Normalerweise kann die Website B, die einen Link von der Website A erhält, die Herkunft des Links überprüfen – will meinen:

 

Der Betreiber der Website B ist darüber informiert, von wo aus die Nutzer auf seine Website finden. Wenn der Betreiber der Website A beim Link zur Website B im Tag das Attribut rel noreferrer setzt, kann der Betreiber der anderen Website allerdings nicht mehr die Herkunft des Links sehen; anstelle von einer URL der Website A bekommt er in Google Analytics beispielsweise den Hinweis „(direct) / (none)“ angezeigt.

 

Das Attribut rel noreferrer ist dann anzuwenden, wenn Betreiber von verlinkten Websites nicht wissen sollen, von welcher Website zu ihnen verlinkt wird. Es ist kein Fall bekannt, in dem man die Herkunft des Links vor Website-Betreibern verbergen sollte, doch für den Fall der Fälle wurde rel noreferrer eingeführt. So wird rel noreferrer richtig eingesetzt:

 

 

Beim Großteil der externen Verlinkungen ist die Verwendung des Attributs rel noreferrer sogar ungewünscht. Vor allem im Affiliate-Marketing, bei dem Website-Betreiber Affiliate-Links zu anderen Websites setzen und bei einer erfolgreichen Vermarktung von Neukunden eine Provision erhalten, ist der Einsatz des Attributs rel noreferrer vollkommen sinnlos.

 

Die Affiliate-Partner müssen nämlich untereinander wissen, von wo die Kunden kommen, um die Provisionszahlungen richtig zuordnen zu können.

 

 

Kombination verschiedener HTML-Attribute: noopener, noreferrer, nofollow und Weitere

Es ist erlaubt, verschiedene Attribute miteinander zu kombinieren. Obwohl einige SEO-Agenturen und SEO-Experten die Attribute rel noopener und rel noreferrer zusammensetzen und im Anker-Tag als rel noopener noreferrer verwenden, ist diese Kombination meist sinnlos. Der Grund hierfür ist simpel:

 

Weil es keinen sinnvollen Anwendungszweck für rel noreferrer gibt, existiert auch kein Anwendungszweck für die Kombination rel noopener noreferrer.

 

Anders ist es mit der Attribut-Kombination aus noreferrer und nofollow. Diese beiden Attribute zu kombinieren ist dann empfehlenswert, wenn der externe Link in einem neuen Tab des Browsers geöffnet werden soll und wenn die verlinkte Webseite von den Crawlern nicht besucht werden soll. Letzteres – das Crawling unterbinden – ist nämlich der Effekt, wenn das nofollow-Attribut verwendet wird.