ふとスナップショットテストってなんだろう、どういう場面で向いていて、どういう場面には向いていないんだろうと考える機会があって色々調べてました。丁寧な記事にしようとしたのですが、上手くまとまらなくて挫折してしまった… とはいえこのまま手元に置き続けておくのも勿体ないので、下書き段階のものを公開して供養します。

スナップショットテストとは

スナップショットテストとは、あるプログラムの出力を以前の出力と比較し、両者に差分があるかをテストする手法のことです。予め以前のバージョンのプログラムの出力 (スナップショット) のどこかに保存しておき、新しいバージョンのプログラムの出力と比較し、差分があったら fail させます。これにより、プログラムの出力内容が予期せぬうちに変わってしまっていた場合に気づくことができます。

例: React コンポーネントのテストへの適用

代表的な利用例が Jest を使った React コンポーネントのテストです。

// Jestのドキュメントから引用
// from: https://deltice.github.io/jest/docs/ja/snapshot-testing.html
import React from 'react';
import Link from '../Link.react';
import renderer from 'react-test-renderer';

it('renders correctly', () => {
  const tree = renderer.create(<Link page="http://www.facebook.com">Facebook</Link>).toJSON();
  expect(tree).toMatchSnapshot();
});

この例では、<Link>コンポーネントの render 結果をシリアライズし (const tree = renderer.create(...))、その結果をスナップショットとして保存・比較するよう Jest に指示しています (expect(tree).toMatchSnapshot())。このテストを初めて実行すると、ファイルシステムに以下のようなスナップショットファイルが作成されます。

exports[`renders correctly 1`] = `
<a
  className="normal"
  href="http://www.facebook.com"
  onMouseEnter={[Function]}
  onMouseLeave={[Function]}
>
  Facebook
</a>
`;

2 回目以降テストを実行する際は、このスナップショットファイルとの差分が計算されます。もし<Link>コンポーネントの実装にミスがあり、予期せぬうちに render 結果が変わってしまった場合はスナップショットに差分が発生し、テストが fail するようになります。

スナップショットテストに対する一般的な理解

これは個人的な意見ですが、スナップショットテストが React コンポーネント以外にどんな場面へ適用可能なのか、というのはあまり知られていないように思います (僕も含めて)。スナップショットテストは非常に優れた性質を持っており、様々な場面へ適用できる有用なテスト手法です。しかしスナップショットテストがどういった特性を持っていて、どういう向き不向きがあるのか、といったことはほとんど知られていません。ここぞという時に使えるよう、使い時くらいは分かっていると便利ですよね。

どういう場面では向いているか

という訳でここからは、スナップショットテストがどういった場面で有用なのかが分かるよう、スナップショットテストの向き不向きについて考えてみます。ざっとスナップショットテストが向いている場面について書き出すと、こんな感じでしょうか。

• 出力に差分が出たことを検知したい時
  • 差分があった時に fail して警告ほしい、どういう差分が出たのか教えてほしい、みたいなケースを想定
• 有意な出力を出せる時
  • もうちょっと噛み砕くと、出力にテストしたいことが埋め込まれていて、かつ人間の目に読みやすい形になっている時
  • 例えばコンパイラが出力するコンパイルエラーのメッセージにて、エラーの発生行数が期待通りに印字されているかをテストしたい、みたいなケースを考えます
    • この場合はターミナルに出力されたエラーメッセージに発生行数がerror: index.ts:10:3みたいな形式で埋め込まれているので、ターミナルへ出力されたテキストををそのままスナップショットとして取れれば良いです
    • 逆にエラーメッセージが何件出たかをこれでテストするのは難しいです
      • 沢山エラーメッセージが出ると巨大なスナップショットが生成されてしまいます
      • 人間の目で数えることになって大変
  • 素朴にexpect(typeCheck(program).errors.length).toEqual(100)のような assertion を書くくらいで十分なはず
• テスト対象がテスタブルなインターフェイスを公開してくれていない時
  • Virtual DOM など
    • <TodoList items={items} />が render された結果に items がitems.length個含まれているかをテストしたい、みたいなケースを想定
    • jsdom をインストールして DOM API を使ってテストしようと思えばできなくはないです (expect(document.querySelectorAll('.item').length).toEqual(5);)
    • けど Virtual DOM をそのままシリアライズしてそのスナップショットを取ったほうがずっと簡単にテストできます
  • スナップショットテストであれば出力さえ取れればテストできるので、テスタブルなインターフェイスが無くても何とかなる可能性があります
• テストがない朽ちたコードを触る時
  • 触ろうにもテストが無いのでまずはテストを追加したい / けどテストを追加しようにもユニットテストを差し込めるようなインターフェイスになっていない…みたいな状況を想像してください
  • こういう時スナップショットテストが役に立ちます
  • ロガーを用意して、そのロガーを使ってアプリケーションのあらゆる場所でデバッグ出力をして、その出力をスナップショットテストする、というもの
    • 何かの拍子でログ出力の順番が変わったり、出力の内容が変わった時に気づくことができます
    • アプリケーションコードにはログ出力するコードを差し込むだけで、インターフェイスを全く変更する必要が無いので安全かつ簡単に導入できます
  • Golden Master と呼ばれている手法らしいです
    • Surviving Legacy Code with Golden Master and Sampling - The Code Whisperer
    • What is the "Golden Master" Technique? | stevenschwenke.de

どういう場面では向いていないか

逆にどういう場面では向いていないかというと…

• 上記のメリットを殆ど享受できない場合、スナップショットテストは向いてません
  • そんなの当たり前では、と思うかもしれないけど、この観点は意外と重要だったりします
  • というのもこういうケースの場合、他のテスト手法を採用したほうが適切な場合が多いため
  • 例えば 2 つの整数を受け取ってその和を返すadd関数のテストがしたくて、以下のようなテストを書いたとします
    • サンプルコード
  • さて何が問題でしょうか
  • まず答えが何になるべきなのかスナップショットテストからは分かりません
    • パッと見では3になるべきですが、正確なことはスナップショットファイルを見に行かなければ分かりません
  • また、スナップショットテストにしてしまうと、正解のデータを書き換えるには一度テストを走らせる必要があります
    • expect(add(1, 2)).toEqual(3)ならexpect(add(1, 3)).toEqual(4)と書き換えるだけで良いはずでした
  • ...というようにテストとしては動いているけど、なんか過剰な感じがしてしまう
  • こういう場合は素朴に数値として assert したほうが、テストが落ちた時にデバッグしやすいし、テストが読みやすいし、スナップショットファイルも要らなくなってシンプルになります
    • サンプルコード
  • 小学校レベルの知識で解けるのであれば、大学レベルの知識を使って解くのではなくてそっちを使って解きましょう、みたいな
  • ゴブリンを倒すのであれば大量に MP を消費する大魔法を使わずとも、錆びた剣を振りかざすので十分なはず
  • 乱用することなく、状況に応じて道具を使い分けるという話
• 出力の差分が巨大になる場合、スナップショットテストは向いてません
  • 例: 2 京行の差分が出る時
  • 例: Visual Regression Test で、5GB の画像が出力される時
  • テストフレームワークが処理するのに時間が掛かるし、最悪の場合クラッシュします
• 出力の差分を見て、その妥当性を判断するのが困難な場合、スナップショットテストは向いていません
  • 例: 5 万行の差分が出るテスト
  • 1 分で 50 行見たとしても見終わるのに 1000 分掛かります
    • 9 時に出社して差分を見始めて、お昼過ぎてもまだまだで、定時過ぎてもまだまだで、終電が無くなった頃にようやく見終わる、みたいなスケール
    • 機械より人間が頑張るスタイル
  • ただし差分の内容を見ずに変わったことだけ分かれば良い場合や、最初の 100 行だけ見て妥当ですねと判断できる場合であればこの限りではないです
• 出力の変化が激しい場合
  • 例: 現在時刻を表示するクロックコンポーネントのテスト
    • テストを実行する時刻によって出力が変わって毎回テストが fail します
    • 毎回人の目でチェックしないといけません
    • 機械より人間が頑張るスタイル 2
    • ただし何らかの手段で出力を固定できれば、問題を回避できる場合があります
      • クロックコンポーネントの例では時間を司る API をモックして時刻を固定すれば良い
      • Visual Regression Test なら変化する部分を黒塗りしてから比較すれば良い
      • このような出力の固定化が困難な場合はスナップショットテスト以外のテスト手法を検討しましょう
  • 例: アプリケーションのソースコードそのもののスナップショットテスト
    • ソースコードを 1 文字書き換えたらテストが fail する、みたいな
    • 誰もそんなテスト書かないと思いますが…
    • 良い具体例が思いつかなかった！本当はちょっとどこかを弄ったら毎回 fail するのは良くないよね、みたいなことを言いたかった。

事例

今までで見つけた利用例などを書いてみます。

• AWS CDK が出力する Cloud Formation のテンプレートのテスト
  • 生成される Cloud Formation のテンプレートが変わっていないこと == プロビジョニングされるインフラストラクチャが変わらないことを保証できるというもの
  • 公式ドキュメントでも紹介されています
    • https://docs.aws.amazon.com/cdk/latest/guide/testing.html
• TypeScript コンパイラが出力するメッセージのテスト
  • TypeScript コンパイラでは、コンパイラがコンパイル時に出力するメッセージをスナップショットとして取り、期待通りのメッセージが表示されるかをテストしています
  • https://github.com/microsoft/TypeScript/blob/2428ade1a91248e847f3e1561e31a9426650efee/tests/baselines/reference/incrementAndDecrement.errors.txt
  • https://github.com/microsoft/TypeScript/blob/6ed344f2c8b66935ace4a2cc78efd7618840a248/tests/baselines/reference/ES5for-of32.types
• eslint formatter のテスト
  • 最近書きました
  • https://github.com/mizdra/eslint-interactive/blob/cc3f8fb67caadb85b8c54708d3ee524b02f25b01/test/formatter/format-by-rules.test.ts

その他使えそうなところ

以上の情報を元に他にどういう場面で使えそうか、というのを考えてみます。

• nginx が返すレスポンスのテスト
  • ある URL にリクエストを飛ばした時に、期待されるヘッダや body から構成されるレスポンスが返ってくるかをテストしたい、みたいな
  • ちゃんと期待するヘッダが付いてるレスポンスが返ってくるかなどをテストできるはず

年間ブックマークランキングジェネレーター で作ってみた。手軽に1年を振り返れて便利。8位は去年に投稿した記事だけど何故かランキングに入っている。まあ気にしないことにします。

mizdra's blogの2020年ブックマークランキングベスト8(累計600ブックマーク)

#	タイトル
1位	画像による Layout Shift が無くなる Web がやって来る - mizdra's blog
2位	polyfill を深堀りする - mizdra's blog
3位	趣味で創作する時は常に何かしら新しいことに挑戦する - mizdra's blog
4位	target=''_blank" な <a> タグに noopener だけでなく noreferrer も付けるべきか - mizdra's blog
5位	150B で動く strictly-typed な Event Emitter を作った - mizdra's blog
6位	Scrapboxのページ内に埋め込まれているアイコンをsuggestして挿入できるUserScript作った - mizdra's blog
7位	日向縁さんの笑い声について思いを馳せる - mizdra's blog
8位	OK Google, 今日のゆゆ式 - mizdra's blog

generated by 年間ブックマークランキングジェネレーター

この記事ははてなエンジニア Advent Calendar 2020 5日目の記事です。4日目は id:syou6162 さんで、数字のバラ付きを考慮して意思決定する技術でした。

qiita.com

developer.hatenastaff.com

こんにちは、id:mizdra です。今年新卒としてはてなに入社し、WebアプリケーションエンジニアとしてGigaViewerというマンガビューワーを作っています。

最近のはてな社内では「tech-future」という、様々な技術を見つめ直すワーキンググループを運営しています。この会では、ある技術についての要点をまとめるだけでなく、その技術にまつわる歴史を紐解いて整理し、その上で全体を俯瞰して将来その技術がどういう方向に向かうのかを議論し、未来を予測する手がかりを作る、といった挑戦的な取り組みをしています。既に弊社のエンジニアから「tech-future」の取り組みの一部が公開されてますので、是非読んでみて下さい。

developer.hatenastaff.com

developer.hatenastaff.com

developer.hatenastaff.com

この記事では「(Web) Frontend-Ops」をテーマとして開催された回の内、polyfill に関する説明を切り出したものです。 最初は Frontend-Ops 全体をテーマとしてまとめて記事にしようと考えたのですが、polyfill だけでも色々と面白い話が出てきたので、今回は polyfill をピックアップして紹介しようと思います。

polyfillとは何か

polyfill とは、仕様で策定されている機能や Proposal *1 を、それがサポートされていない環境でエミュレートするためのライブラリです。これにより、モダンブラウザでしか実装されてない機能が古いブラウザ(IE11など)でも動かせるようになります。例えば String#startsWithのpolyfillは以下のようになります。

// https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Global_Objects/String/startsWith#Polyfill より
if (!String.prototype.startsWith) {
    Object.defineProperty(String.prototype, 'startsWith', {
        value: function(search, rawPos) {
            var pos = rawPos > 0 ? rawPos|0 : 0;
            return this.substring(pos, pos + search.length) === search;
        }
    });
}

このように、その環境にあるAPIを組み合わせて、実装されていないAPIと互換性のあるものを作ることで、古いブラウザでも String#startsWithを呼び出せるようになります。

polyfill の由来

実は polyfill という言葉は元々あったものではなく、2009年に Remy Sharp 氏 (nodemonの作者) によって生み出された造語です。いくつもの(poly)テクニックを使用して足りない穴を埋める(fill)ことから「polyfill」と命名したとのことです。まさにピッタリの語ですね。元々 Introducing HTML5 という書籍を書くにあたって生み出された造語で、書籍を通じて次第に世の中に広まっていったとされています。当時の経緯については氏のブログで紹介されています。

remysharp.com

トランスパイラとの違い

polyfill と同じように、仕様で策定されている機能やProposalをエミュレートする技術に「トランスパイラ」があります。一見すると polyfill と同じように見えますが、ちゃんと違いがあります。

• polyfillは関数、クラスなどのビルトインオブジェクトのエミュレートを行うもの
  • その環境にあるAPIを組み合わせて、実装されていないAPIと互換性のあるものを作る、というアプローチを取る
  • 全て実行時に行われる
  • ライブラリとして提供される
• 一方トランスパイラは構文 (syntax) のエミュレートを行うもの
  • a ?? bを(a !== undefined && a !== null) ? a : bに変換したり
  • 実行時にできないようなことはこっちでやるイメージ
  • ツールとして提供される

具体例を挙げると requestidlecallback や core-js が polyfill、babel や tsc (TypeScript のコンパイラ) がトランスパイラに相当します。

shimとの違い

また同様に polyfill と同じように使われる言葉として「shim」というのがありますが、これもまたpolyfillとは違いがあります *2。

• polyfill はエミュレーション対象の仕様と似たようなインターフェイスを持っていて、同じように扱えるもののことを指す
  • 新しいブラウザ向けにstr.startsWith('prefix')と書いたら、それが古いブラウザでも同じように動く、みたいな
  • str.startsWithByPolyfill('prefix')みたいにpolyfillのことを意識して書く必要がない
• shimはエミュレーション対象の仕様と同じ機能を持っているものの、インターフェイスが異なるものを指す
  • 同じことを実現できるけど、古いブラウザ向けと新しいブラウザでは別々のAPIを使ってそれを実現する、とか
  • 最近だと lazysizes が shim の良い例
    • 画像の遅延ロードをしてくれるライブラリ
    • 新しいブラウザでは<img src"..." loading="lazy">が使えるけど、古いブラウザだとJSで動的にスクロール位置を判定して実現しないといけない
    • これを良い感じにラップして<img data-src"..." class="lazyload">で遅延ロードできるようにするというのが lazysizes の仕事
    • 古いブラウザでも遅延ロードを実現する都合上、<img src"..." loading="lazy">から微妙にAPIが変わってしまっている
    • こういうのを shim と呼んでいる

polyfill の限界

requestIdleCallbackの polyfill である requestidlecallback を例に挙げてみます。requestIdleCallbackは CPU の Idle time に渡されたコールバックを実行するための API ですが、この API は Safari や IE11 では実装されていません。そのため、そうしたブラウザでもrequestIdleCallbackを使ったアプリケーションを実行するには、requestidlecallback を読み込む必要があります。しかし、この polyfill は完全にrequestIdleCallbackの仕様に準拠している訳ではありません。というのも、polyfill というものは実行環境にあるAPIを組み合わせて、実装されていないAPIと互換性のあるものを作る、というアプローチを取っています。そのため、実行環境のAPIで表現しきれないような挙動を実現することができません。例えば、requestIdleCallbackではCPUが idle になっているかを知るAPIがSafariやIE11に存在しないため、requestIdleCallbackの仕様通りに動くpolyfillを作ることができません。そこでこうしたpolyfillでは多くの場合、可能な範囲で互換性を保ち、それっぽく動くよう設計されます。requestidlecallback ではsetTimeoutを用いてコールバックが非同期で実行されるという性質は維持しつつ、idle time でコールバックが実行されるという性質は諦めるような設計となっています。

このようにpolyfillが完全に仕様に準拠しているかは、そのpolyfillがエミュレーションしようとしている機能と、ターゲットとしている実行環境によって変わってきます。polyfillがあるからと言って必ずしも全てのブラウザで同じような挙動をする訳ではない、という点を抑えておきましょう。

polyfillの歴史

• 2010-201?: polyfill黎明期
  • jsconfでpolyfillという概念が紹介される
    • ついでにHTML5の要素をpolyfillするライブラリをまとめた資料が公開される
    • HTML5 Cross Browser Polyfills · Modernizr/Modernizr Wiki · GitHub
    • HTML5 Cross Browser Polyfills · Modernizr/Modernizr Wiki · GitHub
• 2013: core-js登場 (ref, ref)
  • ECMAScriptのビルトインオブジェクトのpolyfillをまとめたライブラリ
  • Promise/Map/Setなど
  • ES2015の普及と共に広く利用されるように
• 2015?: babel がトランスパイルと同時にpolyfillも自動で仕込んでくれるように
  • 2to3 · Babel
  • babel の普及とともに広く利用されるように
  • その後babel-polyfill / @babel/@polyfill と名前を変えていく
    • babel-polyfill - npm
    • @babel/polyfill - npm
• 2019〜2020: @babel/@polyfillが非推奨になり、core-jsを使ってpolyfillを挿入することが推奨されるように
  • babel-polyfillとcore-jsどちらも殆ど同じことをやっているので片方に寄せた、という経緯
  • 7.4.0 Released: core-js 3, static private methods and partial application · Babel
  • 2020-05-31のJS: Babel 7.10.0(Babel Polyfills)、Snowpack 2.0、Chrome 84β - JSer.info

現在

• @babel/preset-env + core-jsがデファクト
  • browserlist+useBuiltInsで必要なpolyfillのみがbundleされるように
  • Babel が行っている Polyfill の仕組みについて - Tech Blog - Recruit Engineer
  • @babel/preset-env · Babel
• core-jsはECMAScriptのビルトインオブジェクトしか提供してくれない
  • そのためブラウザにしか生えていないようなAPIのpolyfillは別で入れる必要がある
  • fetchとか
    • whatwg-fetch - npm

今後

昔と比べてブラウザの自動アップデートが当たり前になり、仕様の標準化が進んでブラウザの差異は解消されつつありますが、全てのユーザに最新のバージョンのブラウザの利用を強制するのが困難なこと、またChrome/Safari/Firefoxのようにブラウザが複数存在し、それぞれの実装に差異があることを考えると、今後もcore-jsを使っていくことになるでしょう。以前と変わらず、必要に応じてcore-jsでサポートされていない部分のpolyfillを入れていくようにしましょう。

おまけ: バンドルサイズの削減

近年 Web Vitals などの文脈で、Webでもパフォーマンスが重視されつつありますが、この話は polyfill にも関わってきます。というのも、polyfill はバンドルに含めてユーザに配信するため、polyfill を導入することでバンドルサイズが増えてしまうからです。IE11でしか使われないpolyfillがChromeやFirefoxなどでもダウンロードされてしまう、といったように、本来polyfillを必要としていないブラウザで、余計なオーバヘッドが掛かってしまう恐れがあります。

そうした問題を解決するため、次のような対策が取られることがあります。

• browserlist+useBuiltInsで必要なpolyfillのみがbundleされるように
• <script type="module"> / <script nomodule>でエントリポイントを分け、nomodule側にのみpolyfillを仕込む
  • これでIE11だけでpolyfillがfetchされるようになる
  • <script type="module">をサポートするブラウザの中で更に分岐させてpolyfillを出し分ける、といったことまではできない
• polyfill.io
  • UAを見てそのブラウザに必要なpolyfillだけを返してくれる

おまけ: Proposalにおけるpolyfill

• まだ仕様化されていない機能をお試しするためにpolyfillが用意される場合もある
  • https://github.com/tc39/proposal-temporal
  • 実際にユーザに使ってもらって、フィードバックをしてもらうという狙い

おわりに

polyfill の概要の説明から始まり、 閑話休題も挟みつつ、polyfill の今と昔、それから未来について見てきました。polyfill という小さなトピックを取り上げましたが、色々な話が出てきて面白かったですね。そのうち Hatena Developper Blog でも Frontend-Ops をテーマとした記事が色々と出てくると思うので、良かったらそちらもご覧になって下さい。

そうそう、面白い話というと近々弊社のイベントで登壇して、チームにおけるフロントエンドの属人化を頑張って解消していく話をする予定です。近々告知が出る予定ですので、良かったらそちらもご覧になって下さい。 => 告知でました！ (2020/12/12 追記)

developer.hatenastaff.com

明日は id:stefafafan さんです。

qiita.com

追記

• 2020/10/29: モダンブラウザによって noreferrer が自動的に付与されつつある、という説明をしていましたが、正しくは noopener の間違いでした。失礼しました。既に記事の方は修正済みです。

追記終わり。

• target="_blank" は新しいタブでリンク先を開くためのオプションです
• しかし、これにはリンク先のページからリンク元のページの window オブジェクトにアクセスできるという、ちょっと癖のある挙動があります
• この挙動自体は脆弱性ではありませんが、 フィッシング詐欺などに悪用される可能性がある、危険な挙動であることが知られています
• リンクのへの rel=noopener 付与による Tabnabbing 対策 | blog.jxck.io

noopener

• そこで一般には、target="_blank" な <a> タグには noopener を指定することが推奨されています
  • リンクのへの rel=noopener 付与による Tabnabbing 対策 | blog.jxck.io
  • Links to cross-origin destinations are unsafe
  • これを付けると、リンク先のページからリンク元のページの window にアクセスできなくなります (window.opener が undefined になる)
• また、このオプションは Spectre 対策としても利用されます
  • Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io
  • 今まではリンク先のページからリンク元のページへの参照があるために、互いにメモリを共有する必要があり、どうしても同じプロセスで実行しなければならず、結果として Spectre の影響を受ける可能性がありました *1
  • noopener を付けると互いのページが別々のプロセスで実行されるようになり、リンク先のページからリンク元のページのメモリ上のデータを推測することが不可能になります
• つまり「リンク元のページの window オブジェクトの保護」 + 「リンク元のページのメモリ上に展開されているデータの保護」が noopener の役割

余談: どういう時に noopener を付けるか

• じゃあ target="_blank" な <a> タグ全てに問答無用で付けなければならないのか、という疑問が当然出てくると思いますが、実はそうでもないです
• リンク元のページの window オブジェクトの保護や、リンク元のページのメモリ上に展開されているデータの保護が不要な時はなくても問題ありません
• 例えば以下のようなケースでは付けなくても問題ないです
  • リンク先が same-origin なページの場合
    • 悪意のある JS から window.opener を参照されるのは困るけど、same-origin なら所有者は我々であり、悪意のあるコードはないはずなので、 window.opener を参照されても問題ない、という発想
    • 同様の理由でメモリを覗き込まれても問題ないはず
  • リンク先から window.opener をどうしても参照したい時
    • window.opener 使いたいんだったら noopener 付けたら駄目でしょ、という当たり前の話
    • けどこれからの Web は Site Isolation をどんどん推し進めていく方向に発展すると思われるので、可能な限り window.opener を使わないほうが良いです
    • 代わりに MessageChannel という代替技術を使うのが推奨されています
      • Origin をまたぐその他の仕様｜Origin 解体新書 v1.5.1 (有料だけど良い資料です)
• とはいえいちいち same-origin かどうかを判定するのは面倒
  • なので基本的には target="_blank" な <a> タグ全てに noopener を付けておく、という規約を導入するというのが個人的にはオススメです
    • 別に付けても何ら問題ではない / 付けておくだけ得 / 思考の手間が無くなる
    • うっかり noopener 付いていない <a> タグをコピペしてきて、 フィッシング詐欺に発展してしまう、みたいなことも防げる
  • あとは COOP を有効にするのも手
    • Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io
    • noopener いちいち付けなくても、same-origin 以外では window.opener を制限する、みたいなことができる
    • 人間が付け忘れているかどうかに気を配る必要が無くなって良いですね

余談: 自動的な noopener の付与

• 近年ユーザ保護の一環で、target="_blank" な <a> タグにブラウザがデフォルトで noopener を付与するようになっています
• 「Firefox 79」からtarget=“_blank”なリンクの挙動が変更、より安全な仕様に - 窓の杜
• 既に Firefox、Safari では実施済み / Chrome (+Edge) も追随予定
• つまり noopener を付けていくのが当たり前になりつつある訳ですね

noreferrer

• 同じく target="_blank" な <a> タグに指定できるオプションとして noreferrer というものがあり、これも noopener と合わせて使われることがあります
  • Referrer-Policy によるリファラ制御 | blog.jxck.io
  • noreferrer は <a> タグのリンク先からリンク元の情報を取得できないよう制限するオプションです
  • これを付けると、 <a> タグのリンク先に遷移する際に、遷移元の URL がリクエストの Referer ヘッダに載らなくなります
  • また、window.opener から遷移元の情報が取れてしまうので、noreferrer を付けるとこれも undefined になります
    • リンクのへの rel=noopener 付与による Tabnabbing 対策 | blog.jxck.io
  • つまり 「noopener の役割」 + 「Referer header の除外」が noreferrer の役割
• noreferrer が noopener と一緒に使われるのは、古いブラウザで window.opener を undefined にするため
  • というのも、window.opener が問題視され始めた当時は、noopener をサポートしていたブラウザには限りがあったため
    • Can I use... Support tables for HTML5, CSS3, etc
  • 一方 noreferrer は noopener よりも古くからあるオプションで、 IE11 でもサポートされている (ただし win10 の IE11 のみ / win7〜8.1 の IE11 ではサポートしてない)
    • Can I use... Support tables for HTML5, CSS3, etc
  • そのため、noopener の fallback として、noreferrer が使われることが多かったはず (はず、というのは僕が当時の Web の状況に詳しくないから)
• しかし noreferrer には副作用があります
  • Referer header が無くなるので、リンク先からどこからユーザが流入してきたのか追えなくなってしまう
  • アクセス分析をする時に困るかも
• 一応回避策はあることにはある
  • ?utm_campaign=... みたいなクエリを URL につけておくとか
  • けどこういうので全部カバーしきれるかは分かっていない
  • アクセス分析が重要なサービスでは安全側 (ユーザではなくアクセス分析する我々にとっての安全側) に倒して付けないほうが良いかも?
    • ユーザの安全と我々の安全を天秤にかける、みたいな

今も noreferrer を付けるべきなのか

• アクセス分析をガリガリやっていきたいとかなら付けないほうが良さそう?
  • けど Referer header があることでどれくらいできることが広がるのか、というのはよく分かっていない
  • noreferrer を付けないと IE11 ユーザを危険な状態に晒すことになるので、慎重に検討しましょう
• リンク元の URL が外部に流出してほしくないなら付けたほうが良さそう
  • 社内限定のサービスとか
  • YouTube の限定公開 URL とか
• 単に noopener の fallback として使いたい場合...
  • これは結構悩ましい。サービスによって判断すると良いのではと思ってます
  • IE11 以外のモダンブラウザでは noopener サポートされているので、IE11 サポートしていないサービスでは noreferrer 付けなくて良いはず
  • 一方 IE11 をサポートするブラウザでは noreferrer を付けておくと安全
    • ただしアクセス分析をする時に困る可能性があるので、そこは頑張って天秤にかける、という形になりそう
    • 悩ましい！！！
  • この辺詳しい人に聞いてみたい