https://yoru9zine.hatenablog.com/entry/2017/03/17/230729
target="_blank" で開いたページは、その親をwindow.openerで触れるので信頼できないページを開きうるリンクにはrel="noopener"属性をつけろという話。

クロスドメインの場合、window.opener.document にはアクセスできないので大した危険ではないと思うが。

というブクマがあって、実際触れない気がするのでたしかに大問題ってほどではない気がする。