https://let.blog.jp/article/24525306

HTML をエスケープをしてもユーザ入力を a タグの href に入れることがあれば「javascript:alert(1)」みたいに javascript: の URL を書いて XSS できるとかいうのを見かけた
だけど今どき javascript: なんて使わないし無効化してしまえばいい気がする

window.addEventListener("click", eve => {
	const a = eve.target.closest("a")
	if (a && a.href.startsWith("javascript:")) {
		eve.preventDefault()
	}
})

毎回これ書くのも面倒だしもう少し楽に無効化できればいいんだけど……
もういっそデフォルト無効化でもいいのに互換性優先だからそれはなさそうだし