Domini
- Domini
  Esprimi la tua individualità digitale con la nostra vasta gamma di estensioni. Dai un tocco personale alla tua presenza online scegliendo un dominio che rispecchi la tua visione unica. Scopri le estensioni disponibili.
  
  REGISTRA UN NUOVO DOMINIO
  
  Dai forma alla tua identità digitale: registra un dominio e inizia la tua avventura online.
  Registra un nuovo dominio
  
  TRASFERISCI IL TUO DOMINIO
  
  Migra con facilità: trasferisci il tuo dominio e godi di servizi affidabili e innovativi VHosting.
  Trasferisci il tuo dominio
Cloud Hosting
- Cloud Hosting
  Infrastruttura Ridondata
  Illimitate caselle email
  Illimitati sottodomini
  Illimitati database
  Backup automatico
  Certificato SSL gratuito
  Accesso SSH
  Datacenter Italiano
  Piani Hosting
  Hosting Low Cost
  Hosting Avanzato
  Hosting Professionale
  Hosting Reseller
  Hosting Multidominio
  Hosting CMS
  Hosting WordPress
  Hosting Joomla
  Hosting PrestaShop
  Hosting WooCommerce
  Hosting Magento
  
  Chatta noi noi
  
  Sconti e Promozioni
  
  Datacenter
  
  Certificazioni
Email
- E-Mail
  Alza il livello della tua comunicazione aziendale! Offriamo email professionali in cluster per la massima efficienza, un servizio SMTP dedicato per prestazioni senza compromessi e PEC per una corrispondenza sicura.
  
  SMTP Dedicato
  
  Il servizio di invio email per spedire le tue comunicazioni massive e non solo.
  da €2/Mese
  
  Email Pro in Cloud
  
  Il servizio email professionale per essere sempre raggiungibili, prestazioni e Uptime garantiti.
  da 25GB a 500GB
  
  Posta Certificata
  
  Velocità, sicurezza e conformità legale per aziende e privati per l’invio di documenti essenziali.
  Valore Legale
Cloud VPS
- Cloud VPS
  Le soluzioni VPS forniscono risorse dedicate per consentire una personalizzazione avanzata ed alte prestazioni per i tuoi siti web e le tue applicazioni.
  
  VPS Cloud Managed
  
  Il Server Cloud Virtuale in HA totalmente gestito e su misura per te!
  da €65 / Mese + IVA
  
  VPS Cloud Unmanaged
  
  Tutti i vantaggi di un Cloud VPS in HA con accesso root e backup automatici.
  da €30 / Mese + IVA
  
  Elasticsearch Container
  
  Il motore di ricerca veloce e scalabile per mettere il turbo al tuo ecommerce.
  da €12 / Mese + IVA
  
  Istanze MySQL/MariaDB
  
  Istanze database con risorse dedicate per il massimo delle performance.
  da €25 / Mese + IVA
Server Dedicati
- Server Dedicati Managed
  Esplora l’apice delle prestazioni con i nostri Server Dedicati. Potenza hardware di ultima generazione, personalizzazione avanzata e gestione flessibile per affrontare sfide tecniche con sicurezza e affidabilità.
  
  Server Dedicati Managed Business
  
  Riservato all’eccellenza: scopri i vantaggi dei Server Dedicati Managed Business per la tua crescita digitale.
  Scopri i nostri Server
  
  Server Dedicati Managed Low Cost
  
  Massima efficienza a costo contenuto: i Server Dedicati Managed Low Cost rendono l’eccellenza accessibile a tutti.
  Scopri i nostri Server
Servizi
- Servizi
  Garantisci la sicurezza e l’accesso affidabile ai tuoi dati con il nostro Object Storage avanzato. Proteggi la tua presenza online con i nostri Certificati SSL. Eleva la tua esperienza digitale con sicurezza e archiviazione in cloud.
  
  Cloud Object Storage
  
  Archiviazione remota di dati su server distribuiti geograficamente, accessibili via Internet. Scalabile, affidabile, sicura ed economica.
  Scopri il nostro Cloud Object Storage
  
  Certificati SSL
  
  Rafforza la tua presenza online e garantisci la massima sicurezza ai tuoi visitatori con i nostri Certificati SSL.
  Scopri i nostri Certificati SSL
  
  Virtual Datacenter
  
  Il tuo Virtual Datacenter: un’infrastruttura cloud scalabile e sicura, progettata con risorse dedicate.
  Scopri i nostri Virtual Datacenter

Rel noopner noreferrer: cosa sono e come si usano

Antonello S.
3 Marzo 2025
Sicurezza

Indice

Rel noopner e rel noreferrer: cosa sono e come si usano

I link rappresentano l’infrastruttura fondamentale del web, consentendo una navigazione fluida tra le pagine. L’apertura di collegamenti in una nuova scheda attraverso l’attributo target=”_blank” , però, può introdurre vulnerabilità sfruttabili da siti malevoli. In particolare, alcuni script possono manipolare la finestra originale, reindirizzando gli utenti verso contenuti non sicuri o alterando la navigazione.

Per rispondere a questi rischi, gli attributi rel=”noopener noreferrer” sono diventati soluzioni indispensabili. Il primo blocca l’accesso della nuova scheda alla pagina sorgente, prevenendo attacchi di tabnabbing, mentre il secondo impedisce la trasmissione delle informazioni di referrer.

L’uso consapevole di questi attributi influisce anche sulla gestione della privacy e sull’analisi del traffico web ed il giusto funzionamento consente di migliorare l’esperienza utente e rafforzare la protezione dei dati online.

Cosa significa rel=”noopener noreferrer”

Nell’ambito dello sviluppo web, ogni attributo all’interno di un link HTML può avere implicazioni rilevanti per la sicurezza e la privacy. L’uso di rel=”noopener noreferrer” nasce dall’esigenza di prevenire comportamenti indesiderati quando un collegamento viene aperto in una nuova scheda tramite target=”_blank” .

L’attributo noopener impedisce che la nuova scheda mantenga un accesso diretto alla finestra originale attraverso lo script window.opener. Senza questa protezione, una pagina esterna potrebbe manipolare la scheda di origine, ad esempio sostituendola con un sito fraudolento in un attacco di tabnabbing, esponendo gli utenti a potenziali minacce come il phishing.

D’altra parte, noreferrer si concentra sulla protezione della privacy e sulla gestione dei dati trasmessi ai siti di destinazione. Normalmente, quando viene seguito un link, il sito ricevente può ottenere informazioni sulla pagina di provenienza tramite il valore HTTP Referer (con una sola “r” per il nome dell’intestazione). Impostando rel=”noreferrer” , il browser impedisce questa comunicazione, rendendo anonima la navigazione agli occhi del sito collegato.

Questi due attributi, sebbene possano essere utilizzati separatamente, vengono spesso applicati congiuntamente per una protezione più completa. La loro funzione, però, non è solo tecnica: rappresentano un equilibrio tra sicurezza, tutela della privacy e necessità di tracciare il traffico web. Se da un lato bloccano azioni potenzialmente dannose, dall’altro possono influenzare il funzionamento degli strumenti di analisi del traffico, rendendo meno immediata l’identificazione delle fonti di accesso a un sito.

Perché utilizzare noopener e noreferrer nei link?

L’adozione di rel=”noopener noreferrer” risponde, quindi a tre necessità fondamentali: sicurezza, privacy e performance.

Migliorare la sicurezza: prevenzione di attacchi e manipolazioni

Uno dei principali motivi per cui rel=”noopener” è essenziale riguarda la protezione contro gli attacchi di tabnabbing e altri exploit basati su window.opener. Nel momento in cui una nuova scheda si apre senza l’attributo noopener , questa può mantenere un collegamento alla finestra di origine e modificarne il contenuto attraverso JavaScript.

Un sito malevolo potrebbe sfruttare questa connessione per sostituire la pagina originale con una copia fraudolenta, ingannando l’utente e inducendolo a fornire dati sensibili come credenziali di accesso o informazioni di pagamento. L’aggiunta di noopener tronca questa connessione, eliminando il rischio di manipolazione della scheda di origine.

Protezione della privacy: controllo della trasmissione del referrer

Quando un utente clicca su un link, il sito di destinazione può ricevere informazioni sulla pagina di provenienza attraverso l’intestazione HTTP Referer. Sebbene questa funzionalità sia utile per il tracciamento del traffico e l’analisi delle origini delle visite, in alcuni casi può compromettere la riservatezza degli utenti. Ad esempio, se un sito gestisce dati sensibili – come informazioni mediche o finanziarie – condividere automaticamente l’URL di provenienza potrebbe non essere desiderabile. L’attributo rel=”noreferrer” impedisce che queste informazioni vengano trasmesse, garantendo un maggiore livello di anonimato per gli utenti che seguono determinati collegamenti.

Effetti sulle performance: un miglioramento indiretto

Sebbene meno discusso, l’uso di noopener può avere anche implicazioni sulle performance del browser: quando una nuova scheda mantiene un legame con la finestra di origine attraverso window.opener, il browser potrebbe continuare a destinarvi risorse, occupando memoria e potenzialmente rallentando il caricamento delle pagine. L’aggiunta di noopener interrompe questo legame, riducendo il consumo di risorse e ottimizzando le prestazioni complessive della navigazione.

Come usare rel=”noopener noreferrer” nei link HTML

L’integrazione degli attributi rel=”noopener noreferrer” nei link HTML è un’operazione semplice ma importante per garantire sicurezza, privacy e prestazioni ottimali durante la navigazione.

Sintassi corretta e applicazione pratica

L’implementazione avviene direttamente all’interno dell’elemento <a>, aggiungendo l’attributo rel con entrambi i valori:

<a href="https://www.example.com" target="_blank" rel="noopener noreferrer">Visita Example</a>

In questa configurazione:

target=”_blank” indica al browser di aprire il link in una nuova scheda;
rel=”noopener” impedisce alla scheda appena aperta di interagire con la pagina di origine, eliminando i rischi legati a window.opener;
rel=”noreferrer” evita che il sito di destinazione possa rilevare la pagina di provenienza, preservando la privacy dell’utente.

Quando è necessario e quando opzionale

Sebbene l’aggiunta di questi attributi sia consigliata per la maggior parte dei link esterni, la loro applicazione può variare a seconda del contesto:

obbligatorio per link esterni non affidabili: quando si rimanda a siti di cui non si può controllare il contenuto o le politiche di sicurezza, l’uso combinato di noopener e noreferrer è fondamentale per prevenire exploit e tracking indesiderati;
utile per link a risorse affidabili: anche se si collega a fonti sicure, noopener è comunque raccomandato per prevenire manipolazioni. In alcuni casi, noreferrer può essere omesso se è necessario mantenere attivo il tracciamento del referrer;
non necessario per link interni: quando si creano collegamenti all’interno dello stesso sito web, questi attributi non hanno alcuna utilità in termini di sicurezza, poiché entrambi i documenti appartengono allo stesso dominio e non vi è il rischio di attacchi di tabnabbing o manipolazione.

Rel noopener noreferrer e WordPress: cosa sapere

Il sistema WordPress, utilizzato da milioni di siti web in tutto il mondo, e facile da gestire se si sceglie un hosting WordPress, come quello proposto da VHosting, integra automaticamente misure di sicurezza per proteggere gli utenti da vulnerabilità comuni. Tra queste, l’aggiunta automatica degli attributi rel=”noopener noreferrer” ai link aperti in una nuova scheda rappresenta una strategia efficace per mitigare potenziali rischi.

Gestione automatica dei link in WordPress

WordPress implementa questa funzionalità per qualsiasi <a> che includa target=”_blank”, senza richiedere interventi manuali da parte dell’utente. Questo significa che tutti i collegamenti esterni aperti in una nuova scheda ricevono automaticamente la protezione contro attacchi di tabnabbing e la trasmissione dei dati di referrer, salvo specifiche modifiche da parte di sviluppatori o attraverso plugin personalizzati.

WordPress e l’interazione con i plugin builder (Elementor e altri)

Page builder come Elementor, ampiamente utilizzati nella creazione di siti web dinamici e personalizzati, adottano lo stesso approccio. Ogni volta che un link viene configurato per aprirsi in un’altra scheda, Elementor aggiunge in modo predefinito noopener noreferrer, mantenendo inalterata la protezione senza necessità di modifica manuale.

Nel caso in cui si vogliano modificare questi parametri, alcuni plugin offrono la possibilità di rimuovere noreferrer, ad esempio per esigenze specifiche di tracciamento analytics, pur mantenendo noopener attivo per garantire la sicurezza. Questa scelta può essere rilevante quando si monitora il traffico referral proveniente da campagne pubblicitarie o strategie di link building.

Eccezioni e personalizzazioni nel codice

Sebbene WordPress imposti questi attributi come standard, situazioni particolari possono richiedere personalizzazioni. Gli sviluppatori possono intervenire direttamente nel codice, modificando il comportamento predefinito con filtri ed editor di temi. Allo stesso tempo, qualsiasi rimozione di noopener dovrebbe essere valutata con attenzione, poiché aumenterebbe l’esposizione a potenziali attacchi di tabnabbing.

Impatto su SEO e tracciamento dati

L’uso di rel=”noopener noreferrer” nei link HTML ha conseguenze rilevanti sulla sicurezza, ma può anche influenzare il tracciamento del traffico web. Sebbene noopener non abbia impatti sulla SEO, noreferrer modifica il modo in cui i dati sui visitatori vengono registrati dagli strumenti di analisi.

Differenza tra nofollow e noreferrer

nofollow indica ai motori di ricerca di non trasferire valore SEO al link di destinazione, utilizzato spesso per link sponsorizzati o non affidabili;
noreferrer non incide sul ranking, ma impedisce la trasmissione dell’intestazione HTTP referrer, rendendo invisibile la sorgente del traffico al sito di destinazione.

Effetti sul monitoraggio del traffico

Google Analytics e altre piattaforme registrano le visite provenienti da link con noreferrer come “direct traffic” invece che come referral, rendendo difficile attribuire correttamente il traffico esterno. Per aggirare questo problema, è possibile utilizzare UTM parameters , che permettono di tracciare l’origine della visita senza dipendere dal referrer.

Tag

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Durata	Descrizione
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
psuid	8 years	This cookie is set by the provider ProveSource. This cookie is used for randomly generating unique Id for user. It helps in counting the impressions and notification display rules per user.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.