Estou abrindo um pop-up da minha página principal com código como este:

<a href="http://external.domain.tld/"
   onclick="window.open(this.href, '_blank', 
       'width=512,height=512,left=200,top=100');return false">
 Open popup
</a>

Isso funciona bem, mas meu problema é que o documento que é carregado na janela pop-up tem permissão para alterar a localização da janela de abertura. Isso funciona mesmo quando o documento no pop-up é de um domínio diferente. Não tem permissão para ler a localização, mas é permitido alterar a localização. Eu não quero isso. Eu quero que o pop-up seja completamente desconectado da minha página principal.

Mesmo sem JavaScript, não funciona. Quando abro a outra página em uma nova guia usando otarget="_blank" atributo, em seguida, esta guia ainda está autorizado a navegar para oopener janela e alterar sua localização:

<a href="http://external.domain.tld/" target="_blank">
  Open in new tab
</a>

Este é o código no documento aberto que não deve ser permitido:

<script>
  opener.location.href = "http://badsite.tld/";
</script>

Você pode ver uma demonstração ao vivoAqui. Clique em um dos dois links para abrir uma outra página em um pop-up ou em uma nova guia que carregue uma terceira página na janela de abertura. É o que estou tentando evitar.

Existe algum truque que eu possa usar para quebrar a conexão entre a janela de abertura e a janela aberta? Idealmente, a janela aberta não deve saber que foi aberta por qualquer outra janela.