ESLint之jsx-no-target-blank

最新推荐文章于 2023-05-15 12:13:35 发布
最新推荐文章于 2023-05-15 12:13:35 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: cron表达式 文章标签: eslint sx-no-target-blank

ESLint的确是个好东西,在使用airbnb的JavaScript语法校验工具时,如下的<a>链接标签报出了安全错误:

<a className="link" href="http://www.honeywell.com/terms-conditions" target="_blank" >Terms & Conditions</a>

​ 错误提示为Prevent usage of unsafe target='_blank' (react/jsx-no-target-blank),当我们希望使用target=_blank来打开一个新标签页时,一定要加上rel='noreferrer noopener',否则你的网页就会存在很严重的安全问题!!!

危险的target='_blank'

​ 假设在浏览A页面时,通过<a target="_blank" href="http://baidu.com/">Click</a>标签链接到了B页面,那么在B页面中通过window.reopner即可获取A页面的window对象,这样的话即可拿到部分的A页面的控制权,即使B页面是跨域的也可以拿到该控制权!

​ 我们编写两个页面进行简单的测试,A页面(index.html)中有一个<a>标签,以及一个’待宰割‘的<div id='test'></div>

<!DOCTYPE html>
<html lang="en">
<head>
    <title>Title</title>
</head>
<body>
    <div id="test"></div>
    <a href="./test.html" target="_blank">Click</a>
</body>
</html>

​ B页面(test.html)中添加如下的js代码来试图篡改A页面:

<!DOCTYPE html>
<html lang="en">
<head>
    <title>Title</title>
</head>
<body>
    Test page
    <script type="application/javascript">
      if (window.opener) {
//      opener.location = 'http://baidu.com'
        opener.document.getElementById('test').innerHTML = 'Now A page is revised!';
      }
    </script>
</body>
</html>

​ 测试结果显示A页面<div>标签被篡改了。该例子还只是简单的页面内容改动,但如果有人恶意的使用opener.location将A页面跳转到一个钓鱼网站,而此时用户的关注点还在B页面上,等用户返回'A页面'输入了隐私信息,那么后果不堪设想。

使用rel=noopener noreferrer

​ 给<a>标签添加rel=noopener可以使window.opener在Chrome 49 and Opera 36以上版本中为null。如果点击A页面上的链接跳转到了B页面,则称A页面为B页面的referrer(来源页面),通过referrer我们可以知道网站的流量从何而来。

​ 注:可以通过document.referrer拿到页面的来源

参考

https://mathiasbynens.github.io/rel-noopener/

https://github.com/yannickcr/eslint-plugin-react/blob/master/docs/rules/jsx-no-target-blank.md

 



作者:明澤Calligr
链接:https://www.jianshu.com/p/b89dc1af1f07
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

一只特立独行的猫猫
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序 页面路由 实现页面切换
weixin_52070171的博客
03-29 3319
微信小程序实现单页面复运用
点击导航切换路由,默认页面到浏览器顶部
qq_46617584的博客
01-11 123
点击导航切换路由,默认页面到浏览器顶部
react根据路由切换页面
weixin_44233592的博客
02-10 706
import * as React from 'react' import { Menu } from 'antd' import * as styles from './Aside.module.less' import { DoubleRightOutlined,DoubleLeftOutlined } from '@ant-design/icons' import routes from '../../../router' import { RouteComponentProps, withRout
Vue点击按钮跳转到新路由
m0_51933554的博客
11-12 3918
Vue点击按钮跳转到新路由
1、vue-router切换路由的方式(命名路由和编程式导航和历史记录)
最新发布
EchoLiner的博客
05-15 1366
vue-router切换路由的方式(命名路由和编程式导航和历史记录) 链接方式一 to等于字符串,字符串的值是路由里path的值二、使用编程式导航切换路由,给标签添加点击事件 goJump()的参数是路由里path的值
eslint-plugin-jsx-dollar:Eslint插件,用于检查JSXText不必要的模板文字$字符
02-14
eslint-plugin-jsx-dollar Eslint插件,用于检查JSXText不必要的模板文字$字符。安装yarn add -D eslint-plugin-jsx-dollar.eslintrc.js module . exports = { "plugins" : [ ... , "jsx-dollar" ] , "rules" : [ .....
eslint-plugin-jsx-a11y:JSX元素上的a11y规则的静态AST检查器
02-05
eslint-plugin-jsx-a11y 静态AST检查器,用于JSX元素上的可访问性规则。 用阅读。 为什么? Ryan Florence建立了这个很棒的运行时分析工具,称为 。 超级有用。 但是,由于您可能已经在项目中使用了linting,...
eslint-plugin-classnames:在 JSX 中警告和格式化长类名的用法
08-04
eslint-plugin-classnames 在 JSX 中警告和格式化长类名的用法安装您首先需要安装 : $ npm i eslint --save-dev接下来,安装eslint-plugin-classnames : $ npm install eslint-plugin-classnames --save-dev用法将...
eslint-plugin-jsx-extras:一组Eslint插件,用于基于应用程序的特定JSX规则
05-17
jsx-no-string-literals 该规则禁止在JSX表达式中使用字符串文字(数字以外的数字)。 它的存在是为了使开发人员不会意外忘记为组件放置本地化的字符串。 没有未分类的React出口 该规则用于将ES6类与流类型一起使用...
eslint-plugin-react-native:用于ESLint的React Native插件
02-03
用于React Native的ESLint插件 对ESLintReact本机特定的掉毛规则。 该存储库的结构类似于(并包含来自)出色的。 安装 在本地或全局安装 。... 如果还不是这种情况,则还必须配置ESLint以支持JSX。 {
【React】基本路由的使用_单个页面的切换
zqq_2016的博客
10-19 608
一、效果 二、需求描述 点击菜单项,显示对应组件内容。 三、代码实现 index.js import React from 'react'; import ReactDOM from 'react-dom'; import Main from "./components/react_router/main"; import {BrowserRouter} from "react-router-dom"; ReactDOM.render(( <Browse...
(搭建架构4)如何实现路由的跳转和嵌套(页面内容切换)
weixin_46166949的博客
04-28 648
1.在src下创建view文件夹,存放不同的页面
页面跳转,路由导航
ffdals的博客
01-25 418
1.页面跳转路由导航两种方法 <router-link :to="..."> 和router.push(...) 2.跳转新建,编辑,详情页获取及跳转 (1)跳转 - vue 的列表页中,拼接页面的 id 值 <span class="details" @click="toDetail(3,row.id)"> toDetail(operation,id){ this.router.push{ "/page/
VUE—点击路由内容切换(图文详情)
Poppy_LYT的博客
08-03 2127
VUE—点击路由内容切换 第一步:在index。js里面写meta 第二步:获取要更改的位置 例如: <li class="active">{{title}}</li> 第三步:在路由写data,用在储存切换的内容 data () { return { title: '' } }, 第四步:点击内容更换,写在data后面 // 进入路由前调用该函数 ...
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 531
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
链接地址中的target=”_blank”属性安全性处理
liNewman的博客
09-13 1087
链接地址中的target=”_blank”属性安全性处理 http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&amp;mid=2651061858&amp;idx=4&amp;sn=47e725482bc573d35737dc5632c9412d&amp;scene=1&amp;srcid=09...
window.open()和target= blank存在安全漏洞
粉丝们务必加入微信粉丝群
10-21 2684
作者:Daniel 译者:前端小智 来源:js-craft 我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中.
危险的 target=_blank 及 rel=noopener
小小小的骆驼的前端技术博客
08-10 1700
在编写 js 代码时有时候会出现以下报错: jsx-no-target-blank[ESLint] 具体可以访问源码地址 究其原因,是因为:默认的 a 标签链接,如果设置 target=_blank 时,则在新窗口能够通过全局对象的 opener 属性拿到原 tab 的引用,此时可能会引发黑客攻击等危险 其中,一篇英文博客写的很好,下面引用的例子也是引用该博客的示例 新开窗口属于同源时 先进入https://mathiasbynens.github.io/rel-noopener/ 然后点击第一个示例:“
彻底搞懂ESLint
我叫火柴
07-16 2520
ESLint是在ECMAScript/JavaScript代码中识别和报告模式匹配的工具,它的目标是保证代码的一致性和避免错误。通俗的讲就是让代码风格统一(更在意js代码质量)。
eslint-plugin-react 作用
03-30
eslint-plugin-react 是一个用于 ESLint 的插件,它提供了针对 React 代码的特定规则和检查,以及一些帮助开发人员编写更好的 React 代码的功能。 该插件可以用于以下方面: 1. 检测未使用的变量和组件,避免代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值