diff --git a/docs/bom/window.md b/docs/bom/window.md
index e87131b..f5aab8e 100644
--- a/docs/bom/window.md
+++ b/docs/bom/window.md
@@ -55,7 +55,13 @@ window.open().opener === window // true
 
 上面表达式会打开一个新窗口，然后返回`true`。
 
-通过`opener`属性，可以获得父窗口的全局属性和方法，但只限于两个窗口同源的情况（参见《同源限制》一章），且其中一个窗口由另一个打开。`<a>`元素添加`rel="noopener"`属性，可以防止新打开的窗口获取父窗口。
+通过`opener`属性，可以获得父窗口的全局属性和方法，但只限于两个窗口同源的情况（参见《同源限制》一章），且其中一个窗口由另一个打开。`<a>`元素添加`rel="noopener"`属性，可以防止新打开的窗口获取父窗口，减轻被恶意网站修改父窗口 URL 的风险。
+
+```html
+<a href="https://an.evil.site" target="_blank" rel="noopener">
+恶意网站
+</a>
+```
 
 ### window.self，window.window