码云 window.open()与target= blank存在的安全漏洞,你知道吗
AI 概述
我们前端开发时经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。
// in html
<a href="mybj123.com" target="_blank">码云笔记</a>
// in javascript
window.open("www.mybj123.com")
但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面...
我们前端开发时经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。
// in html
<a href="mybj123.com" target="_blank">码云笔记</a>
// in javascript
window.open("www.mybj123.com")
但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。
例如,可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。
为了防止这种情况,我们可以:
在 HTML 中使用 rel="noopener 和 target="_blank"。
<a href="mybj123.com" target="_blank" rel="noopener noreferrer">
open securely in a new tab
</a>
在 Javascript 中,一定要重置 opener 属性:
const newWindow = window.open("mybj123.com");
newWindow.opener = null;
现在看来,noreferrer是多余的,所以noopener对于 HTML 的使用应该是足够的。
以上关于window.open()与target= blank存在的安全漏洞,你知道吗的文章就介绍到这了,更多相关内容请搜索码云笔记以前的文章或继续浏览下面的相关文章,希望大家以后多多支持码云笔记。
微信
支付宝声明:本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权/违法违规/事实不符,请将相关资料发送至 admin@mybj123.com 进行投诉反馈,一经查实,立即处理!
重要:如软件存在付费、会员、充值等,均属软件开发者或所属公司行为,与本站无关,网友需自行判断
码云笔记 » window.open()与target= blank存在的安全漏洞,你知道吗
如若内容造成侵权/违法违规/事实不符,请将相关资料发送至 admin@mybj123.com 进行投诉反馈,一经查实,立即处理!
重要:如软件存在付费、会员、充值等,均属软件开发者或所属公司行为,与本站无关,网友需自行判断
码云笔记 » window.open()与target= blank存在的安全漏洞,你知道吗
