window.open()与target= blank存在的安全漏洞,你知道吗

我们前端开发时经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。

// in html
<a href="www.mybj123.com" target="_blank">码云笔记</a>

// in javascript
window.open("www.mybj123.com")

但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。

例如,可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。

为了防止这种情况,我们可以:

在 HTML 中使用 rel="noopener 和 target="_blank"

<a href="mybj123.com" target="_blank" rel="noopener noreferrer">
    open securely in a new tab
</a>

在Javascript中,一定要重置 opener 属性:

const newWindow = window.open("mybj123.com");
newWindow.opener = null;

现在看来,noreferrer是多余的,所以noopener对于HTML的使用应该是足够的。

「点点赞赏,手留余香」

1

给作者打赏,鼓励TA抓紧创作!

微信微信 支付宝支付宝

还没有人赞赏,快来当第一个赞赏的人吧!

声明:
1. 本站所有文章教程及资源素材均来源于网络与用户分享或为本站原创,仅限用于学习和研究。
2. 如果内容损害你的权益请联系客服QQ:1642748312给予处理。
码云笔记 » window.open()与target= blank存在的安全漏洞,你知道吗

发表评论

IT互联网行业相关广告投放 更专业 更精准

立即查看 联系我们