target="_blank"

Страница, открытая через target="_blank", получает частичный контроль над открывшей её страницей через js свойство window.opener.

Например, через window.opener.location мы можем сделать редирект на фишинговую страницу.

Варианты решения

Самый простой — не использовать target="_blank" вообще. Пользователь достаточно опытный, что бы решать как открывать ссылки. Но если требует бизнес:

• rel="noopener" (не поддерживается FF, поэтому лучше использовать rel="noopener noreferrer")
• Открывать через JS:

  var newWnd = window.open();
  newWnd.opener = null;
  

Ссылки

• Опасный target="_blank"
• Target=”_blank” — the most underestimated vulnerability ever