Noopener Manifestosu: Dış Link Güvenliği ve Tabnabbing Önleme

Yeni sekmede açılan bağlantıların sinsi birer güvenlik açığı olmasını engelleyen, window.opener riskini sıfırlayan teknik hijyen rehberidir.

Paylaş:
Noopener Manifestosu: Dış Link Güvenliği ve Tabnabbing Önleme - SEOSKOR Rehber

Bağlantı Güvenliği Nedir?

Bağlantı güvenliği, bir web sayfasından diğerine geçiş yaparken hem kullanıcının hem de web sitesinin verilerini koruyan teknik önlemler bütünüdür. Linkler sadece SEO yolları değil, aynı zamanda tarayıcılar arası pencere ilişkilerini tanımlayan kritik kapılardır.

target="_blank" Ne Yapar?

Bir linke target="_blank" eklediğinizde, kullanıcı linke tıkladığında hedef sayfa "yeni bir sekmede" açılır. Ancak bu basit işlem, açılan sayfa ile sizin sayfanız arasında sinsi bir "context" (bağlam) bağı kurar.

window.opener Tehlikesi

KRİTİK RİSK: Yeni sekmede açılan sayfa, window.opener nesnesi aracılığıyla sizin ana sayfanıza erişebilir. Eğer link verdiğiniz site kötü niyetliyse, sizin sayfanızın URL'sini değiştirip kullanıcıyı bir phishing (oltalama) sayfasına yönlendirebilir. Buna "Tabnabbing" saldırısı denir.

rel="noopener" Nedir?

rel="noopener", yeni sekmede açılan sayfanın sizin ana sayfanıza erişimini tam olarak kesen teknik bir emirdir. window.opener bağını kopararak, iki sekme arasında tam bir izolasyon sağlar. Modern web güvenliğinin mutlak standardıdır.

noopener vs noreferrer

noopener sadece pencere bağını keserken, noreferrer buna ek olarak "kaynak sayfa" (referer) bilgisinin hedef siteye gitmesini de engeller. Analitik verilerinizde "direct" trafiğin artmasını istemiyorsanız, sadece noopener yeterlidir.

noopener Neden SEO Konusu Değildir?

Doğrudan bir sıralama faktörü olmasa da, noopener kullanımı bir "kalite ve özen" sinyalidir. Google, teknik güvenlik best-practice'lerine uyan siteleri "profesyonel ve güvenilir" olarak sınıflandırır. Güvenlik, görünmez bir SEO desteğidir.

Google noopener Kullanımını Zorunlu Tutuyor mu?

Google botları bunu teknik olarak zorunlu tutmaz. Ancak Chrome ekibi (Lighthouse raporları aracılığıyla) bunu her zaman önerir. Chrome 88 sürümünden sonra otomatik olarak eklese de, HTML içinde açıkça belirtmek en profesyonel yaklaşımdır.

İç Linklerde noopener Kullanılır mı?

Aynı alan adı içindeki (internal) sayfalara verdiğiniz linklerde noopener kullanmanıza genellikle gerek yoktur. Çünkü kendi sayfalarınızın size saldırmayacağını varsayarız. Gereksiz kullanım sadece kod kalabalığı yaratır.

Dış Linklerde noopener Zorunluluğu

Başka bir siteye (external) link veriyorsanız ve bu link yeni sekmede açılıyorsa (target="_blank"), noopener kullanımı teknik bir etik kuraldır. Sitenizi ve kullanıcınızı korumak için bu bir seçenek değil, zorunluluktur.

noopener Olmayan Linklerin Risk Seviyesi

Özellikle kullanıcı yorumlarının yayınlandığı, her türlü linkin paylaşılabildiği büyük platformlarda noopener eksikliği bir güvenlik felaketidir. Bir saldırganın sitenizi bir phishing merkezine çevirmesi an meselesidir.

noopener ve Performans İlişkisi

Şaşırtıcı ama gerçek: noopener kullanmak performansı artırır! window.opener bağı olduğunda tarayıcı iki sayfayı da aynı "process" (işlem) içinde tutmaya zorlanır. Bağ koptuğunda tarayıcı her sekmeyi ayrı birer bağımsız işlemci kanalı gibi yönetebilir.

noopener Otomatik Eklenmeli mi?

WordPress gibi modern CMS'ler bunu artık otomatik yapar. Ancak özel yazılımlarda veya statik sitelerde manuel kontrol şarttır. Otomatik eklemek iyidir ama "internal" linklere bulaşmadığından emin olunmalıdır.

Framework’ler ve noopener

React, Vue ve Next.js gibi modern yapılar, güvenlik açıklarını kapatmak için target="_blank" kullanılan linklerde rel="noopener" eksikliğini genellikle bir uyarı (warning) olarak raporlar. Geliştirici seviyesinde farkındalık şarttır.

Yanlış noopener Kullanımı

En büyük hata, sitenizdeki istisnasız her linke (aynı sayfada açılanlar dahil) bu etiketi eklemektir. Diğer bir hata ise JavaScript ile açılan pencere bağımlı sistemleri (Pop-up login vb.) yanlışlıkla izole ederek bozmaktır.

Güvenlik & UX Dengesi

Her linki yeni sekmede açmak kötü bir UX (Kullanıcı Deneyimi) tercihidir. Kullanıcı linke tıkladığında "ayrılıyor mu" yoksa "destek mi alıyor" kararını iyi vermeli, yeni sekme açıyorsak güvenliği noopener ile mühürlemeliyiz.

noopener ve Hukuki / Kurumsal Sorumluluk

Bankalar, kamu kurumları ve büyük kurumsal siteler için bu teknik detay bir "hizmet kusuru" sayılabilir. Veri ve kullanıcı güvenliği beklentisi olan her yapı, teknik hijyeni en üst seviyede tutmalıdır.

Seoskor İçin Akıllı noopener Değerlendirmesi

Analiz kriterlerimiz şu süzgeçten geçer:

  • UYARI: Dış link + target="_blank" var ama noopener yok.
  • BİLGİ: İç linklerde gereksiz noopener kullanımı.
  • BAŞARILI: Riskli tüm dış çıkışlarda doğru izolasyon uygulanmış.

Yanlış Pozitif (False Positive) Sorunları

Seoskor, modern tarayıcıların bazı durumlarda bu riski otomatik kapattığını bilir. Ancak "garantici" bir yaklaşımla, her zaman kod seviyesinde net kontrolü önerir.

Güvenli Linkleme Checklist’i

  1. Dış linkleri mutlaka yeni sekmede mi açıyorsunuz?
  2. noopener etiketi eksiksiz eklenmiş mi?
  3. Analitik referer verisine ihtiyacınız var mı (noreferrer kararı)?
  4. Kullanıcı akışı yeni sekme açmaya uygun mu?

noopener vs CSP

CSP (Content Security Policy), site genelinde bir koruma sağlar. noopener ise link bazlı bir mikrodur. İkisi birbirinin rakibi değil, tamamlayıcısıdır. Profesyonel bir sitede her iki katman da çalışmalıdır.

noopener ve Reklam Linkleri

Affiliate (gelir ortaklığı) veya sponsorlu linklerde rel="sponsored noopener" şeklinde birleşimler kullanın. Hem Google botuna "bu bir reklamdır" deyin hem de sitenizi o reklamın içeriğinden izole edin.

noopener Kullanılmaması Ne Zaman Kabul Edilebilir?

Aynı organizasyonun farklı domainleri arasında pencere haberleşmesi gerekecekse (Örn: Bir penceremden diğerine veri akışı) kullanılmayabilir. Ancak bu çok nadir ve bilinçli yapılması gereken bir teknik "istisna"dır.

Otomatik Test & CI/CD Entegrasyonu

Büyük projelerde mutlaka "ESLint" gibi araçlarla, target="_blank" kullanılan yerlerde rel="noopener" olmamasını bir hata olarak tanımlayın. Güvenlik, bireysel dikkatten ziyade sistemle korunmalıdır.

noopener Checklist’i

Son bir kontrol; kodunuzu target="_blank" için taratın ve yanında noopener olmayan her satırı potansiyel bir delik olarak kabul edin.

25. Bağlantı Güvenliği Manifestosu – Net Hüküm

"Link açmak sadece bir geçiş değil, bir güven alışverişidir. noopener küçük bir kelime gibi görünse de, o küçük kelime sitenizin güven kalesindeki en stratejik mühürdür. Sessizce korur, kesinlikle ayırır."

İZOLASYON GÜVENLİKTİR.

Sıkça Sorulan Sorular

Doğrudan bir sıralama artışı sağlamaz. Ancak teknik SEO ve güvenlik best-practice'lerine uyan profesyonel bir yapı kurduğunuz için dolaylı bir güven puanı (trust) kazandırır.
noopener sadece pencere bağını keser, hedef siteye sizin sitenizden geldiğini bildirir. noreferrer ise bağla birlikte kaynak (referer) bilgisini de siler; hedef site sizin kim olduğunuzu göremez.
Teknik bir zararı yoktur ama gereksizdir. Kendi sayfalarınız arasında izolasyon kurmak, tarayıcının optimizasyon yeteneklerini sınırlayabilir.

Çerez Kullanımı

Size en iyi deneyimi sunmak ve güvenliğinizi sağlamak için çerezleri kullanıyoruz. Sitemizi kullanarak Çerez Politikamızı kabul etmiş olursunuz.

Detaylı Bilgi

Premium Analiz

Alt sayfaları (iç sayfaları) analiz etmek için üye girişi yapmanız gerekmektedir. Misafir kullanıcılar sadece ana sayfa analizi yapabilir.

Giriş Yap Hemen Üye Ol