opener

最新推荐文章于 2023-01-12 23:37:28 发布
最新推荐文章于 2023-01-12 23:37:28 发布
阅读量533 收藏
点赞数
分类专栏: 笔记
国外网友近日曝出大部分网站都忽视了的安全漏洞,包括 Facebook,Twitter,Google 等都被检测出带有 The target="_blank" 安全缺陷。

你可以点击 http://tvvocold.coding.me/target_blank_vulnerability/ 测试这个安全问题。带有 target="_blank" 跳转的网页拥有了浏览器 window.opener 对象赋予的对原网页的部分权限,这可能会被恶意网站利用。

<script language="javascript">
window.opener.location = 'https://example.com'
</script>

漏洞修复方法:为 target="_blank" 加上 rel="noopener noreferrer" 属性。

预计该“安全漏洞”影响了 99% 的互联网网站和大部分浏览器,Instagram 已修复这个问题,有趣的是谷歌拒绝修复这个问题,谷歌认为“这属于浏览器缺陷,不能由单一的网站进行有意义的缓解”。



引自

https://coding.net/u/tvvocold/pp/125176

ccstuck
关注
专栏目录
用window.open,opener实现网页间通信
03-02
如果网页 A 可以发送信息到网页 B,反之也然,而不必动用请求/应答模式,该是一件多么惬意的事儿。可以轻松地实现聊天不是吗?
window.opener浅析(续网页无提示自动关闭)
MPU的专栏
11-09 3356
前边用window.opener=null来完成了窗口的无提示自动关闭.简单查了一下,window.opener是js中window的一个属性,它返回的是打开当前窗口的窗口对象.如果窗口A弹出一个窗口B,那么在B中window.opener就是窗口对象A.这是JAVASCRIPT参考手册里对于opener的描述   When a source document opens a dest
javascript opener 用法
wwwhongxia的专栏
05-16 4565
window.opener 的用法在一般的用法中,只是用来解决关闭窗口时不提示弹出窗口, 而对它更深层的了解一般比较少。 其 实 window.opener是指调用window.open方法的窗口。 在工作中主要是用来解决部分提交的。这种跨页操作对工作是非常有帮助的。 如果你在主窗口打开了一个页面,并且希望主窗口刷新就用这个,打开页面的window.opener就相当于 主窗口的windo
OpENer 是一个 EtherNet/IP 堆栈
thanklife的专栏
10-22 2541
最近查找关于EtherNet/IP协议实现的开源项目,找到了OpENer项目。 网址在:https://github.com/EIPStackGroup/OpENer OpENer 是一个 EtherNet/IP 堆栈用于 I/O 适配卡设备,支持多路 I/O 和明确连接以及EtherNet/IP兼容产品的对象和服务,参考 ODVA (开放式设备网络供货商协会)规范。 DeviceNet总线技术具有网络化、系统化、开放式的特点,必然需要众多企业相互支撑、相互补充来构成和扩展整个网络系统的功能。为了便于技
JavaScript window.opener的用法
姬豪杰的专栏
06-29 4200
<br />window.opener主要用于通过子页面操纵打开子页面的父页面。通过这种方法,子页面可以象操纵本页面一样操纵父页面。<br />通过Windows.opener可以获取父页面对象,接下来就可以象操纵本页面一样操纵父页面。这里重点列出几个特殊的方法:<br />window.opener.location.reload(): 该方法可以在子页面中刷新父页面。<br />window.opener.close():该方法在子页面中关闭父页面。<br />window.opener.documen
OpENer-master:EtherNetIP 驱动程序
06-05
Opener 版本 1.2.0 欢迎来到 OpenerOpener 是用于 I/O 适配器设备的 EtherNet/IP:trade_mark: 堆栈; 支持多 I/O 和显式连接; 包括用于制作以太网/IP 规范中定义并由 ODVA ( ) 发布的 EtherNet/IP:trade_mark: ...
openeR:OpeneR是一个软件包,旨在舒适地记录您的R代码
03-25
openeR软件包的创建是为了使开发人员可以轻松地记录其R代码。 无论您是在进行探索性分析,编写数据准备提示还是只是在进行简单的实验,代码都可能不如编写程序包那样有效。 如果是这样,您将只使用出色的roxygen2...
JS window.opener返回父页面的应用
12-09
JavaScript中的`window.open()`和`window.opener`是两个与窗口操作密切相关的属性和方法,它们在网页交互和页面导航中扮演着重要角色。本文将深入探讨这两个特性以及它们在处理支付成功页面跳转时的应用。 `window....
window.opener用法和用途实例介绍
09-05
`window.opener` 是 JavaScript 中的一个属性,它用于在新打开的窗口中引用创建它的原始窗口,即父窗口。这个属性通常与 `window.open()` 方法一起使用,`window.open()` 方法用于创建一个新的浏览器窗口或者打开一...
EtherNet/IP协议开发1:从OpENer开始
09-04 5895
ethernet/ip协议,OpENer初步
Firefox window.opener属性Chrome权限提升漏洞
weixin_34066347的博客
12-20 397
发布日期:2009-12-15更新日期:2009-12-18受影响系统: Mozilla Firefox 3.5.xMozilla Firefox 3.0.xMozilla SeaMonkey 2.0不受影响系统: Mozilla Firefox 3.5.6 Mozilla Firefox 3.0.16Mozilla SeaMonkey 2.0.1描述: BU...
opener 值得注意的安全问题
qq_44005305的博客
01-12 135
最近在学习浏览器知识的时候,讲到了浏览器之间的渲染进程共用的问题。其中 opener 能被引用到的两个页面,会在同一个渲染进程中。而这两个页面,可以称为:浏览上下文组。但在测试的时候,反倒是发现了一个opener 注意的问题,原因虽是“人祸”,但也要小心!基于此做下记录,给大家做个提醒。
Web安全漏洞梳理(一)
crystal_shrimps的博客
03-30 574
写在前面 根据自己的学习和工作经验总结下常见漏洞类型和经常会遇到的问题。 一、注入攻击 注入攻击的本质,是把用户输入的数据当作代码执行。 1、SQL注入 漏洞原理&&场景&&危害 web应用程序对用户的输入未进行合法性判断或者过滤不严,导致服务器可以拼接执行恶意的SQL语句。 涉及到操作数据库的功能,如搜索产品、查询用户、排序 可导致: 机密数据被窃取。 核心业务数据被篡改。 网页被篡改。 数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵。 修复建议 (最推荐)操
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2496
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
使用window.opener完成两个页面参数传递
u013111454的博客
06-21 9557
父页面:&lt;html&gt;&lt;body&gt;&lt;script type="text/javascript"&gt;function demo(){ window.open("b.html");}function de(n){ document.getElementById('a').value = n;}&lt;/script&gt;&lt;input type="tex
关于不同页面获取文本值应用[opener 用法]
じJF[CMS]ve
06-10 1253
window.opener 的用法 window.opener 返回的是创建当前窗口的那个窗口的引用,比如点击了a.htm上的一个链接而打开了b.htm,然后我们打算在b.htm上输入一个值然后赋予a.htm上的一个id为“name”的textbox中,就可以写为: window.opener.document.getElementById("name").value = "输入的数据"; 对于j
opener stm32
最新发布
12-03
opener STM32是一款基于STM32微控制器的开发板。STM32是ST公司推出的基于ARM Cortex-M内核的系列微控制器,具有高性能、低功耗和丰富的外设接口等特点,广泛应用于工业控制、物联网、智能家居等领域。 opener STM32...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值