Tabnabbing

Tabnabbing использует то, что неактивные вкладки редко проверяют. В классическом варианте JavaScript во вкладке, с которой пользователь ушёл, меняет заголовок, фавикон и содержимое, имитируя знакомый сервис (веб-почта, банк); вернувшись, пользователь скорее всего введёт пароль. В реверс-варианте используется target="_blank": вредоносная страница в новой вкладке через window.opener переписывает URL исходной вкладки на фишинговый. Современные браузеры по умолчанию ставят rel="noopener" на target="_blank", но устаревший код по-прежнему уязвим. Защита: rel="noopener noreferrer" на исходящих ссылках, CSP, открытие пользовательских URL с noopener и обучение пользователей проверять адресную строку после переключения вкладок.