Digital Transformation
Tabnabbing (Reverse Tabnabbing)
TL;DR: Tabnabbing adalah serangan keamanan web di mana sebuah tautan yang dibuka di tab baru (target="_blank") dapat mengakses dan mengubah halaman asal lewat properti window.opener. Pencegahannya cukup satu atribut: rel="noopener noreferrer". Browser modern memberlakukan ini secara default sejak 2021, tapi banyak situs lawas masih rentan.
Apa itu Tabnabbing?
Tabnabbing, kadang disebut reverse tabnabbing, adalah teknik phishing yang memanfaatkan perilaku default sebuah link target="_blank". Saat pengguna mengklik link semacam itu, tab baru yang terbuka memiliki referensi ke tab asal melalui window.opener. Tanpa pengaman, halaman pihak ketiga di tab baru dapat menjalankan window.opener.location = "https://halaman-phishing.com" dan mengganti tab asal jadi tampilan login palsu. Pengguna yang kembali ke tab pertama biasanya tidak sadar URL sudah berubah, lalu memasukkan kredensial.
Serangan ini relevan untuk siapa saja yang membuka tautan eksternal di website bisnis atau halaman komunitas. Risikonya bukan teknis murni, tapi reputasi: pengunjung yang ditipu lewat link Anda akan menyalahkan domain Anda.
Cara Mencegah Tabnabbing
Pengaman utama adalah atribut rel pada tag anchor:
| Atribut | Fungsi |
|---|---|
rel="noopener" | Memutus akses window.opener di tab baru |
rel="noreferrer" | Tidak mengirim header Referer ke tab baru |
rel="noopener noreferrer" | Kombinasi keduanya, rekomendasi standar |
Sejak Chrome 88 (Januari 2021), Firefox 79, dan Safari 12.1, browser memberlakukan noopener secara default untuk target="_blank". Sumber resminya bisa dibaca di MDN Web Docs tentang rel attribute. Namun proteksi default ini tidak selalu menutupi pengguna versi lama atau browser dalam aplikasi (in-app browser di Instagram, TikTok, WhatsApp).
Praktik aman yang saya pakai di proyek client: tambahkan rel="noopener noreferrer" secara eksplisit pada semua link eksternal, terutama yang user-generated (komentar, profil, footer kerja sama).
Kenapa Penting untuk Marketer Indonesia?
Banyak halaman afiliasi dan kerja sama brand di Indonesia masih pakai struktur link lawas. Kalau tab pengunjung diubah jadi halaman login palsu marketplace, brand Anda terkena dampak trust meskipun bukan pelaku. Kombinasikan pencegahan tabnabbing dengan Subresource Integrity, Content Security Policy, dan Referrer-Policy untuk lapisan trust yang konsisten.
Pertanyaan Umum
Apakah browser modern sudah otomatis aman dari tabnabbing?
Sejak 2021 mayoritas browser memberlakukan noopener secara default untuk target="_blank". Namun in-app browser dan versi lawas tidak konsisten, jadi tetap aman menambahkan rel="noopener noreferrer" secara eksplisit.
Apakah tabnabbing sama dengan clickjacking?
Berbeda. Tabnabbing memanfaatkan tab yang dibuka pengguna, sementara clickjacking memakai iframe tersembunyi untuk menipu klik di halaman asal.
Istilah Terkait