window.open()与target= blank存在的安全漏洞,你知道吗
我们前端开发时经常使用 HTML target="_blank"
或 window.open()
在新窗口中打开页面。
// in html <a href="mybj123.com" target="_blank">码云笔记</a> // in javascript window.open("www.mybj123.com")
但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener
对象获得了对链接页面的一些部分访问权限。
例如,可以使用 window.opener.location
将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。
为了防止这种情况,我们可以:
在 HTML 中使用 rel="noopener
和 target="_blank"
。
<a href="mybj123.com" target="_blank" rel="noopener noreferrer"> open securely in a new tab </a>
在 Javascript 中,一定要重置 opener
属性:
const newWindow = window.open("mybj123.com"); newWindow.opener = null;
现在看来,noreferrer
是多余的,所以noopener
对于 HTML 的使用应该是足够的。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
码云笔记 » window.open()与target= blank存在的安全漏洞,你知道吗
码云笔记 » window.open()与target= blank存在的安全漏洞,你知道吗