リンクのターゲットを _blank に設定しました。href 属性を script タグで data-uri に設定すると、前のウィンドウのコンテキストで javascript が実行されます。これは window.open() を使用すると発生しますか? これにより、XSS を使用する攻撃者が localStorage データを盗むことが可能になり、開発者がウィンドウの実行コンテキストを分離する方法は明らかにありません。私の質問は、data:uri が新しいタブで開いているにもかかわらず、前のウィンドウ (つまり、target="_blank" 属性が設定されたウィンドウ) のコンテキストでスクリプトを実行するのはなぜですか? また、_blank はそれを行わないため、開発者はウィンドウの Javascript コンテキストをどのように分離する必要があるのでしょうか? _blank は新しいウィンドウ、新しい実行コンテキストを意味すると思っていましたが、_new も同じように機能すると思います。