如何将 data-url 动态注入 href 实现中键点击新标签页打开

那么，有没有办法在不修改网站源码的前提下，优雅地解决这个问题呢？答案是肯定的。解决思路其实很直接：把 data-url 里藏着的真实 URL 解析出来，动态地写回到 href 属性里去。这样一来，链接的原生行为就恢复了，同时原有的语义和可访问性信息（比如 aria-label、title）也不会受到影响。下面就是一个稳定、可复用的 Tampermonkey 用户脚本，帮你一键搞定。

// ==UserScript==
// @name         Fix Middle-Click Links (K12/D2L)
// @namespace    https://github.com/user/scripts
// @version      1.1
// @description  Restore middle-click & new-tab support by injecting data-url into href
// @author       You
// @match        *://*.k12.com/*
// @match        *://*.brightspace.com/*
// @match        *://*/d2l/*
// @grant        none
// ==/UserScript==

(function () {
  'use strict';

  function updateLinks() {
    document.querySelectorAll('a[data-url]').forEach(a => {
      const dataUrl = a.dataset.url;
      // 仅处理符合重定向模式的 data-url（如 /k12/redirect?url=...）
      if (dataUrl && dataUrl.startsWith('/k12/redirect?url=')) {
        try {
          const rawTarget = dataUrl.substring('/k12/redirect?url='.length);
          const decodedUrl = decodeURIComponent(rawTarget);
          // 安全校验：确保是合法 HTTP(S) URL，避免 XSS 风险
          if (/^https?:\/\//.test(decodedUrl)) {
            a.href = decodedUrl;
          }
        } catch (e) {
          console.warn('Failed to decode data-url:', dataUrl, e);
        }
      }
      // 可选：支持其他重定向格式（如 D2L 的 /d2l/le/... 或 base64 编码）
      else if (dataUrl && /^https?:\/\//.test(dataUrl)) {
        a.href = dataUrl;
      }
    });
  }

  // 页面加载完成后立即执行一次
  updateLinks();

  // 监听 DOM 变化（更优雅替代 setInterval）
  const observer = new MutationObserver(() => {
    updateLinks();
  });
  observer.observe(document.body, {
    childList: true,
    subtree: true
  });

  // 可选：为单页应用（SPA）补充 hashchange 和 popstate 监听
  window.addEventListener('hashchange', updateLinks);
  window.addEventListener('popstate', updateLinks);
})();

关键优化说明

这个脚本可不是简单的“查找-替换”，里面有几个关键设计，确保了它的高效与安全：

• 告别轮询，拥抱观察者：用 MutationObserver 替代了传统的 setInterval 轮询。这意味着脚本只在 DOM 结构真正发生变化时才执行，响应更及时，性能开销也更小。
• 解码与校验，一个都不能少：脚本会先用 decodeURIComponent() 处理 URL 编码，防止中文路径或特殊字符解析失败。之后，还会用正则表达式 /^https?:\/\// 进行校验，只接受合法的 HTTP(S) 协议，从根本上杜绝了潜在的 XSS 风险。
• 兼容多平台，扩展性强：脚本的 @match 规则已经覆盖了 K12、D2L/Brightspace 等常见平台。如果你需要适配其他网站，只需按规则添加匹配模式即可，非常灵活。
• 为单页应用（SPA）保驾护航：现代网站很多都是单页应用，仅靠初始加载执行一次是不够的。因此，脚本额外监听了 hashchange 和 popstate 事件，确保在路由切换后，新加载的链接也能被正确处理。

注意事项

当然，在部署和使用时，还有几个细节需要留意：

• 如果目标页面使用了 Shadow DOM 技术，需要在配置 MutationObserver 时额外设置 { shadow: true } 选项。
• 有些站点可能在链接上绑定了 click 事件并调用了 preventDefault() 来阻止默认行为。如果遇到这种情况，脚本修改 href 后可能仍无法点击，此时需要进一步分析并重写或移除相关的事件监听器。
• 脚本只负责恢复 href，原链接的 target=“_self” 属性依然有效。如果你希望所有链接默认都在新标签页打开，可以在脚本中追加设置 a.target = ‘_blank’; a.rel = ‘noopener’;。
• 首次安装脚本后，需要刷新一下页面才能生效，同时请确保 Tampermonkey 扩展已启用该脚本。

总的来说，通过这个轻量级的 Tampermonkey 方案，你无需安装臃肿的浏览器扩展，也无需请求网站管理员修改代码，就能一键恢复链接的原生交互能力。让鼠标中键和 Ctrl+点击重新变得高效，这才是浏览体验该有的样子。