target=“_blank”属性引入的漏洞总结

已于 2022-04-27 16:50:06 修改
阅读量5.1k 收藏 3
点赞数
分类专栏: web前端 文章标签: chrome 安全 前端
于 2022-01-10 16:56:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangdefu/article/details/122413021
版权

target=“_blank”属性引入的漏洞总结

target=”_blank”应用场景

该属性通常情况主要注重相关用户体验而产生,其本意就是在用户点击一个链接的时候是否在新窗口中打开还是在原窗口打开进行分别,比如百度页面:当我们在百度搜索框中输入内容,然后点击“百度一下”时是不会跳出一个新页面,而在搜索结果列表时,点击列表链接是会重新跳出一个标签页或浏览器窗口(chrome中文网和旧版本ie不同,旧版本ie重新跳一个窗口,chrome是打开新标签页),新版本IE和Chrome都是打开新的标签页。
IE版本
新标签页打开
新标签页打开

target=”_blank”安全隐患分析

使用该属性来打开新标签或者新窗口时,站点会通过window.openr API给了新页面对原有窗口的访问入口,并授予一些权限,其中window.location是没有被跨域限制拦截的。这可能就存在一个安全隐患

2.1 钓鱼例子

下是cmswing网站发布博文为例(纯属演示,请勿模仿):
测试页面代码

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Document</title>
  </head>
  <body>
    <script lang="javascript">
      console.log(123,window.opener)
      if (window.opener) {
        alert('opener')
        window.opener.location = 'http://www.baidu.com'
      }
    </script>
  </body>
</html>

进入博客发布博文,点击超链接,输入演示网站,并选择新窗口页面打开:
在这里插入图片描述

其他按要求填写发布博文,回到博文列表看到自己刚发布的博文,并点开:
在这里插入图片描述

上图显示博文中有刚才插入的演示链接,点击链接发现以下情况:
在这里插入图片描述

因此可以发现,原页面已经跳到百度,此时非常明显地发现了原页面已经跳转,但是如果此时是黑客将原页面跳转至其精心模拟的社区盗版网站,并且页面标题一样,很少有人会去关注地址栏的信息变化。此时若是测试网站也是一个非常精美的网络段子,比如是糗事百科,我们还会因为搞笑而驻足浏览了很长时间,等到回到hi社区盗版网站时发现,网站提示你:多久多久没有操作,请重新登入,那么一登陆,黑客网站获取用户名密码同时返回给你一个正确的登入页面,不知不觉的被盗走了用户名密码。

上述这种情况,比较危险的是邮件中发来一个链接,比如验证登入等等之类,改密码之类的邮件都有链接。获取邮箱用户名密码后,还可以跟邮箱中的联系人进行链式钓鱼。

因此可以发现,原页面已经跳到百度,此时非常明显地发现了原页面已经跳转,但是如果此时是黑客将原页面跳转至其精心模拟的hi社区盗版网站,并且页面标题一样,很少有人会去关注地址栏的信息变化。此时若是测试网站也是一个非常精美的网络段子,比如是糗事百科,我们还会因为搞笑而驻足浏览了很长时间,等到回到hi社区盗版网站时发现,网站提示你:多久多久没有操作,请重新登入,那么一登陆,黑客网站获取用户名密码同时返回给你一个正确的登入页面,不知不觉的被盗走了用户名密码。

上述这种情况,比较危险的是邮件中发来一个链接,比如验证登入等等之类,改密码之类的邮件都有链接。获取邮箱用户名密码后,还可以跟邮箱中的联系人进行链式钓鱼

2.2 漏洞存在原理

当我们开发人员不注意添加rel=“noopener”(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。

这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼。

if(window.opener){
    window.opener.location = "链接的网页地址";
}

2.4 解决方法

  1. 最简单的方法是所有跳转链接都在原窗口打开。

  2. 通过Java后台分析富文本中超链接所带的标签中是否存在target=”_blank”,存在则单独给标签添加rel=“noopener”属性。Rel属性可以很好的屏蔽关于target=”_blank”漏洞存在。这种方式最好是在后台编码添加这个属性,通过js方式并不是很好的防范措施。

  3. 由于大部分邮箱、博客等等网站存在这个漏洞,如果每一项都单独对页面修改会有非常大的工作量,并且会出现纰漏,因此对于这个漏洞的防范,最好通过写一个补丁文件来修补一个网站所有页面。

总结分析

关于target=”_blank”漏洞的发现已经有段时间,然后由于这个漏洞的攻击方式没有被展开,因此在短时间内还没有出现大规模的攻击案例,并且Google将该漏洞防范退给了浏览器,因此是被严重忽视的一个漏洞存在。

漏洞攻击都是存在随机性和盲目性,只有想不到,没有做不到。这种钓鱼方式所需要的成本会增加,但是对于攻击范围和攻击力度来说也是非常大的,当获取网站个人用户名密码后,完全可以实施链式钓鱼,并且这种链式钓鱼会呈现正反馈信任方式增加危险,当攻击了一个邮箱,那么通过该用户名和密码可以对邮箱内的成员攻击(甚至可以添加蠕虫代码自动攻击获取大量用户信息),此时已经是作为一个认识的人来操作带有黑客链接的网页了,增加了信任度。

因此解决上述存在漏洞是一个必要的条件,以防止真正大规模攻击实例出现。

devlincms
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谈谈target=_new和_blank的不同之处
09-01
本文将深入探讨`target="_new"`和`target="_blank"`这两个值的区别,以及它们如何影响用户在浏览网页时的体验。 首先,`target="_new"`是一个不常见的属性值,它在HTML规范中并未被明确定义。然而,在一些教程和...
target="_blank"-toggler-crx插件
04-04
语言:English (United States) ...有关完整博客文章的更多详细信息:https://augustin-riedinger.fr/en/resources/thoughts-on-target-blank并且源代码在这里:https://github.com/augnustin/target_blank-toggler
前端 防止使用 target="_blank" 的恶意攻击
weixin_33809981的博客
04-11 519
危险的 target=”_blank” 当一个跳转链接 这么写的时候 &lt;a href="./target.html" target="_blank"&gt;target _blank&lt;/a&gt; 在新打开的界面,将会暴露一个 opener对象,简单的理解。这个对象就是父窗口的 windows对象,可以直接使用父窗口的方法, 比如通过window.opener.location = n...
关于HTML中的target=“_blank“问题
debugtoday的博客
02-23 2万+
关于HTML中的target="_blank"问题
前端代码常见的安全缺陷(一)
最新发布
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
04-22 1795
使用标签中使用target属性,当值设置为“_blank”攻击者会针对`window.opener`API进行恶意行为的攻击,有可能导致钓鱼安全漏洞问题。例如,以下示例使用的`target`属性,但是没有设置`rel`属性
HTML中<a>标签和target=“_blank“属性使用方法及作用(清晰易懂,带例子)
m0_53558236的博客
11-23 2万+
HTML中标签和target="_blank"属性使用方法及作用(清晰易懂,带例子)
html中target四种选择target=_blank、target=_parent、target=_self、target=_top的区别与对比?
hmz856的博客
06-13 6481
将链接的文件载入含有该链接框架的父框架集或父窗口中。如果含有该链接的框架不是嵌套的,则在浏览器全屏窗口中载入链接的文件,就象_self参数一样。属性作用使得文档载入父窗口或者包含来超链接引用的框架的框架集。在当前的整个浏览器窗口中打开所链接的文档,因而会删除所有框架,不写的话就是表示默认值,默认值一般跟浏览器有关。表示:将框架中链接的画面内容,显示在没有框架的视窗中(即除去了框架)。表示:将链接的画面内容,显示在目前的视窗中。表示:将链接的画面内容,在新的浏览视窗中打开。表示在新窗口中打开该链接。
HTML 中 a 标签的 target=blank 和 target=_blank 的区别
weixin_43632186的博客
07-01 4760
前言 去年学前端基础三剑客的时候,知道了超链接既可以在当前页打开,也可以在新标签页中打开,默认情况下,如果不设置 a 标签上 target 属性的值,那么点击超链接时,当前页会被超链接的目标页覆盖掉;如果希望在新页面中打开超链接,则需要在 a 标签上加上 target="_blank" 。 正文 时隔将近一年,最近在学前后端分离相关的技术时,刚好要实现一个页面的跳转,写的时候没注意,把 target="_blank" 错写成了 target="blank" ,少写了一个下划线。不过运行后似乎也没出现什么大问
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 2017
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
网页打开新窗口target=_blank不符合标准
10-30
我们要在新窗口中打开链接通常的做法是在链接后面加target="_blank",我们采用过渡型的DOCTYPE(xh tml1-transitional. dtd)时没有问题,但是当我们使用严格的DOCTYPE(xhtml1-strict.dtd)时,这个方法将通不过W3C的...
Vue配置marked链接添加target="_blank"的方法
10-16
然而,默认情况下,marked不会自动添加`target="_blank"`属性到Markdown中的链接,这意味着链接会在当前窗口打开。为了解决这个问题,我们需要自定义marked的渲染器(Renderer)来实现链接在新窗口打开的功能。 ...
HTML5 中 target=“_blank“属性值意义及用法+window跳转页面
怡暘
11-27 2347
背景: 项目开发中遇到了需要从js中跳转到指定的页面,且要跳转的地址是与系统不在同一个IP或者端口的; target="_blank"属性值意义及用法 _blank – 在新窗口中打开链接 _parent – 在父窗体中打开链接 _self – 在当前窗体打开链接,此为默认值 _top – 在当前窗体打开链接,并替换当前的整个窗体(框架页) 一个对应的框架页的名称 – 在对应框架页中打开 在js中通过window监听跳转页面 window.open(‘https://www.baidu.com’,
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2262
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 516
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
a标签target=”_blank”的安全问题及解决办法
chinashanzhang的博客
03-13 2万+
一、定义 A 标签的 target 属性规定在何处打开链接文档。如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后将新的文档载入那个窗口。从此以后,超链接文档就可以指向这个新的窗口。target...
HTML中a标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性
热门推荐
BOKEhhh的博客
04-05 2万+
本文记录了对HTML中<a>标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性值的效果的测试。 使用<frame>标签,做一个有框架的网页,为了能看出HTML中<a>标签的target属性的“_self”和“_parent”这2个属性值的不同效果,需要这个网页还有框架的嵌套,框架思路如下图所示: 该...
前端 - a标签target=”_blank”
kelly0721的博客
03-30 6372
a 标签的target 属性带来的安全隐患
链接地址中的target=”_blank”属性安全性处理
liNewman的博客
09-13 1076
链接地址中的target=”_blank”属性安全性处理 http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&amp;mid=2651061858&amp;idx=4&amp;sn=47e725482bc573d35737dc5632c9412d&amp;scene=1&amp;srcid=09...
target=“_blank“有啥安全性问题?如何防范?
cxz
11-05 603
问题 在调用window下的open方法创建一个新窗口的同时,可以获得一个创建窗口的opener句柄,通过target="_blank"点开的窗口活着标签页,子窗口也能捕获opener句柄,通过这个句柄,子窗口可以访问到父窗口的一些属性,虽然很有限,但是却可以修改父窗口的页面地址,让父窗口显示指定的页面。 防范 如果需要限制window.opener的访问行为,我们只需要在原始页面每个使用target="_blank"的链接中加上一个rel="noopener"属性。 但是,火狐并不支持这个属性值,火狐
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值