# security/noopener

target="_blank" links carry rel="noopener". Reglen security/noopener kører i page-scope med severity 'error' og indgår i sikkerhed-domænet sammen med 4 andre kontrakter i frameworket.

## Hvorfor noopener findes

A target="_blank" link without rel="noopener"/"noreferrer" gives the opened page scriptable access to window.opener (reverse tabnabbing). Gold standard: every external _blank link has rel="noopener" (add "noreferrer" when referrer leakage matters).

## Sådan håndhæves noopener

Reglen noopener evalueres på hver enkelt renderet HTML-side for sig, så et fund altid kan føres tilbage til én konkret side og én konkret rettelse i data eller template. Fejler en side, får agenten en finding, hvor fix-instruktionen for noopener er formuleret som en konkret arbejdsordre med filnavne og målbare krav — aldrig et vagt råd. Severity 'error' betyder at et brud på noopener fejler hele verifikationen med exit-kode 1, så hverken CI eller en agent kan skibe sitet før fundet er rettet.

## Test og fixtures

Som alle kontrakter i frameworket har security/noopener en mutant-test, der beviser at reglen fejler, når kravet brydes — en regel uden en fejlende test er ikke en regel. Golden-fixturet beviser omvendt, at en fuldt compliant side består noopener sammen med de øvrige 85 regler, og denne demoside er selv underlagt hele kontrakten.

## Relaterede regler

- [security/no-inline-event-handlers](https://pseo.mikkelkrogsholm.dk/regler/security/no-inline-event-handlers/)
- [security/sri-external-resources](https://pseo.mikkelkrogsholm.dk/regler/security/sri-external-resources/)
- [security/no-base-tag](https://pseo.mikkelkrogsholm.dk/regler/security/no-base-tag/)