Window.open() 和 target= blank 有个安全漏洞

我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。

创新互联公司专注于网站建设|成都网站维护公司|优化|托管以及网络推广,积累了大量的网站设计与制作经验,为许多企业提供了网站定制设计服务,案例作品覆盖水泥搅拌车等行业。能根据企业所处的行业与销售的产品,结合品牌形象的塑造,量身策划品质网站。

 
 
 
      
  
  
  1. // in html 
    2.   
  
  
  2. open google 
    3.   
  
  
  3.  
    4.   
  
  
  4. // in javascript 
    5.   
  
  
  5. window.open("www.google.com") 
    6.

但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。

例如,可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。

为了防止这种情况,我们可以:

在 HTML 中使用 rel="noopener 和 target="_blank"。

 
 
 
      
  
  
  1.  
    2.   
  
  
  2.     open securely in a new tab 
    3.   
  
  
  3.  
    4.

在Javascript中,一定要重置 opener 属性:

 
 
 
      
  
  
  1. const newWindow = window.open("someLink.com"); 
    2.   
  
  
  2. newWindow.opener = null; 
    3.

后续:现在看来,noreferrer 是多余的,所以noopener` 对于HTML的使用应该是足够的。

作者:Daniel 译者:前端小智

来源:js-craft 原文:http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/

网站栏目:Window.open() 和 target= blank 有个安全漏洞
网站链接:http://www.shufengxianlan.com/qtweb/news5/103355.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

营销型网站建设知识

同城分类信息

云主机    成都免费做网站公司    广安迈傲建站    微信小程序公众号开发    成都网络营销    达州网站建设    合江网站建设    护栏打桩机    成都app制作    成都营销网站制作    全网营销    手机微信网站    固迪佳新材料    网络推广公司    汕尾凯敏网站    温江做网站公司    网络推广外包    网络推广平台    铁科精智测控    混凝土搅拌罐车