链接到用户自定义网站
当网站中的链接地址可以由用户自己定义时,需注意安全性问题。
一、当a链接 target="_blank" 时,需加上rel="noopener noreferrer"属性。
二、当用js链接到新地址时,设置opener属性为null
var otherWindow = window.open(‘http://www.baidu.com’);
otherWindow.opener = null;
因为新开链接网址,可通过window.opener属性获取到源跳转网站的一些信息。
如果跳转链接是用户自定义,并且不加以限制,则用户可在自己的跳转网址上一段简单的js代码
if(window.opener){
window.opener.location = ‘http://www.baidu.com’;
}
当你点击用户链接时,跳转到用户网站,上述一段简单的js代码,就可以更改源网站的地址,实现用户钓鱼。