window.open()和target= blank存在安全漏洞

最新推荐文章于 2024-06-07 13:31:48 发布
最新推荐文章于 2024-06-07 13:31:48 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: js H5 文章标签: javascript html
原文链接:https://juejin.cn/post/7021316704332415013
版权
js 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
H5
4 篇文章 0 订阅
订阅专栏

我们经常使用 HTML target="_blank"window.open() 在新窗口中打开页面。

// in html
<a href="www.google.com" target="_blank">open google</a>

// in javascript
window.open("www.google.com")
复制代码

但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。

例如,可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。

为了防止这种情况,我们可以:

在 HTML 中使用 rel="noopenertarget="_blank"

<a href="someLink.com" target="_blank" rel="noopener noreferrer">
    open securely in a new tab
</a>

在Javascript中,一定要重置 opener 属性:

const newWindow = window.open("someLink.com");
newWindow.opener = null;

后续:现在看来,noreferrer 是多余的,所以 noopener` 对于HTML的使用应该是足够的。

原文:掘金

healer-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 232
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
window.open()的完整参数列表 与 跨站脚本执行漏洞
zhcool(碳元素)的专栏
10-18 4255
经常上网的朋友可能会到过这样一些网站,一进入首页立刻会弹出一个窗口, 或者按一个连接或按钮弹出,通常在这个窗口里会显示一些注意事项、版权信息、警告、欢迎光顾之类的话或者作者想要特别提示的信息。其实制作这样的页面效果非常的容易,只要往该页面的HTML里加入几段javascript代码即可实现。下面俺就带您剖析它的奥秘。 【1、最基本的弹出窗口代码】 其实代码非常简单: window.ope
target=‘_blank‘ 安全漏洞 & window.open()
weixin_44764873的博客
08-24 1137
target=’_blank’ 安全漏洞:https://www.jianshu.com/p/ce1fbf9470b7 https://blog.csdn.net/lishuai_it_trip/article/details/89554032 聊聊a标签的rel属性 浅谈rel=external nofollow和rel=noopener noreferrer a标签 rel属性 window.open()打开页面的几种方法 jq / js 动态添加页面跳转 <!--<li> &l
实例讲解 target=’_blank’ 安全漏洞
孙_常乐的博客
05-07 1127
如果你在页面上的超链接a标记上添加了target="_blank"属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。if (window.opener) { window.opener.location = "https://www.webhek.com"; }通常我们知道使用 window.open...
window.open(“.html“,“_blank“) 执行是下载,并没有打开新窗口显示html
最新发布
weixin_40466351的博客
06-07 405
如果你的 .html 文件被下载而不是在新窗口中打开,那可能是因为服务器的响应头设置了 Content-Disposition: attachment,这会导致浏览器把响应的内容作为一个文件下载。如果你有权限修改服务器的设置,你可以尝试修改响应头,把 Content-Disposition 设置为 inline。这会让浏览器在新窗口中直接显示 .html 文件的内容,而不是下载文件。你可以尝试使用 AJAX 请求 .html 文件的内容,然后在新窗口中显示这个内容。
危险的 target=“_blank” 与 “opener”
码飞_CC的博客
07-09 693
在学习安全研发规范的时候,发现一条规则“通过 A 标签跳转到其他页面且使用 target=_blank 时,必须添加 rel=noopener 属性”,这个以前还真没了解到,遂查询了一下,发现一片文章写得挺不错的,这里就不自己写,转载一下了(危险的 target="_blank" 与 “opener”) 以下来自转载: 在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 a 标签上添加 target等于"_blank" 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之
target=“_blank“有啥安全性问题?如何防范?
cxz
11-05 615
问题 在调用window下的open方法创建一个新窗口的同时,可以获得一个创建窗口的opener句柄,通过target="_blank"点开的窗口活着标签页,子窗口也能捕获opener句柄,通过这个句柄,子窗口可以访问到父窗口的一些属性,虽然很有限,但是却可以修改父窗口的页面地址,让父窗口显示指定的页面。 防范 如果需要限制window.opener的访问行为,我们只需要在原始页面每个使用target="_blank"的链接中加上一个rel="noopener"属性。 但是,火狐并不支持这个属性值,火狐
window.open()实现post传递参数
09-03
通常,`window.open()` 的使用方式是 `window.open(url, target, features)`,其中 `url` 是要打开的页面的地址,`target` 指定打开的位置(如 `_blank` 表示新窗口),`features` 是窗口特征的字符串,如宽度、高度...
js中window.open的参数及注意注意事项
11-24
在现代Web开发中,由于弹出窗口可能被视为侵入性的,通常会避免使用`window.open()`,而是倾向于利用`<a>`标签的`target`属性或使用模态对话框(如Bootstrap的模态插件)来实现类似效果。然而,在某些特定场景,例如...
window.open以post方式将内容提交到新窗口
09-05
window.open('about:blank', name, 'height=400, width=400, top=0, left=0, toolbar=yes, menubar=yes, scrollbars=yes, resizable=yes,location=yes, status=yes'); } ``` ### 方法二: 这种方法是在新打开的...
Window.Open如何在同一个标签页打开
09-04
在网页开发中,`window.open()` 是一个非常重要的 JavaScript API,它用于在浏览器中打开新的窗口或标签页。然而,有时候我们可能希望在一个已经存在的标签页中打开一个新的URL,而不是每次都创建新的窗口。本篇文章...
Vue配置marked链接添加target="_blank"的方法
10-16
window.open(href, '_blank'); ``` 总的来说,Vue中配置marked链接添加`target="_blank"`的方法主要是通过自定义渲染器来实现的。同时,记得配置marked的其他选项以满足项目的特定需求。这样,Markdown中的链接将在...
js 安全代码 windows.open安全写法
wnk1997的博客
03-25 264
加上newWindow.opener = null;
关于a标签【target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 528
关于a标签【target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 522
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
前端 防止使用 target="_blank" 的恶意攻击
weixin_33809981的博客
04-11 525
危险的 target=”_blank” 当一个跳转链接 这么写的时候 &lt;a href="./target.html" target="_blank"&gt;target _blank&lt;/a&gt; 在新打开的界面,将会暴露一个 opener对象,简单的理解。这个对象就是父窗口的 windows对象,可以直接使用父窗口的方法, 比如通过window.opener.location = n...
https下使用window.open异常问题的解决方案
cbc98的博客
04-18 1109
测试环境http,线上环境https,在测试环境下测试不出问题,在线上window.open就失灵。newwindow.location = `输入要跳转的地址即可`
window.location或window.open如何指定target?
05-26
使用 `window.location` 或 `window.open` 方法时,可以指定 target 参数来指定打开链接的位置。 例如,指定链接在当前窗口中打开: ```javascript window.location = "http://www.example.com"; ``` 或者在新窗口中打开: ```javascript window.open("http://www.example.com", "_blank"); ``` 其中,`"_blank"` 是一个特殊的 target 值,用于在新窗口中打开链接。其他可用的 target 值包括: - `_self`:在当前窗口中打开链接,这是默认值。 - `_parent`:在父级窗口中打开链接。 - `_top`:在顶级窗口中打开链接,忽略所有嵌套的窗口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值