target="_blank" 安全漏洞

最新推荐文章于 2023-12-14 10:10:37 发布
最新推荐文章于 2023-12-14 10:10:37 发布
阅读量989 收藏 2
点赞数
文章标签: target="_blank"
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuai_it_trip/article/details/89554032
版权

工作中,经常在<a>标签中添加target="_blank",用来在新窗口打开页面,尤其是打开外链应用率几乎是100%。可是最近看到这竟然有一个巨大的安全隐患:

比如在index.html中跳转到index2.html

<a href="index2.html" target="_blank">link</a>

在index2.html中添加一段js代码

<script type="text/javascript">
	window.opener.location.href ="http://www.baidu.com"
</script>

此时会发现,index.html已经跳转的百度了。原因是:当站点在链接中使用target="_blank"来打开新标签页或窗口时,该站点就通过window.opener API给了新页面对原有窗口的访问入口,并授予了一些权限。这其中的一些权限被跨域限制拦截了,但是window.location是漏网之鱼。如果,上述链接是钓鱼网站,那就非常可怕了!

这个问题的解决方法就是:在使用target="_blank"时,加上rel="noopener",此时window.opener 已经被置为了 null。

有资料说:rel="noopener"不支持火狐浏览器,需要加上rel="norefferrer",可是我测试是支持的。又有说法是rel="norefferrer"是为了支持旧的浏览器,但我用的IE8,不论是rel="noopener"还是rel="norefferrer"都没有效果,这让我好尴尬……还有,我测试的:不论是谷歌浏览器还是火狐浏览器,既支持rel="noopener"也支持rel="norefferrer"。(低版本浏览器应该是指谷歌低版本,这个安全漏洞在IE浏览器该如何解决呢?)

在使用window.open()也会出现同样的安全漏洞,此需要用js将opener置为null。

var newOpen = window.open();
newOpen.opener = null;
newOpen.location = "http://www.baidu.com";

 

喜欢文学的程序员
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 225
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
target="_blank"-toggler-crx插件
04-04
语言:English (United States) ...有关完整博客文章的更多详细信息:https://augustin-riedinger.fr/en/resources/thoughts-on-target-blank并且源代码在这里:https://github.com/augnustin/target_blank-toggler
谈谈target=_new和_blank的不同之处
11-30
为了弄清楚这个问题我们来看三段代码产生的结果: code1: <html> <head> <title> new和blank的区别 </title> </head> <frameset cols="30%, *">      <!-- 分别调用target为new和blank的两段代码 --> <frame name="left" src="t_new.html"> <frame name="right" src="t_blank.html"> </frameset> </html> code2: <html> <head> <title> new和blank的区别 </title> </
网页打开新窗口target=_blank不符合标准
10-30
我们要在新窗口中打开链接通常的做法是在链接后面加target="_blank",我们采用过渡型的DOCTYPE(xh tml1-transitional. dtd)时没有问题,但是当我们使用严格的DOCTYPE(xhtml1-strict.dtd)时,这个方法将通不过W3C的校验,会出现如下错误提示:
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 198
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
关于a标签【target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 510
关于a标签【target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
程序入门:初学者应从何种编程语言开始学起 target=_blank.doc
12-27
程序入门:初学者应从何种编程语言开始学起 target=_blank
a标签属性target =“_ blank“是否需要加下划线?
Xyt1737的博客
01-13 1569
target="blank"在功能上看上去和target="_blank"一样,都是跳转到一个新页面。当我们使用第一个写法(不加_),连续多次点击a标签后,我们会发现总是跳转到第一次打开的新页面,即同一个页面,个人猜测这可能是浏览器对其进行了处理,但由于不是关键词'_blank',所以默认为新页面的名称?补充:那为什么target="blank"这个错误写法依然能跳转一个新页面呢?第二个写法(加_),多次点击会新增多个新页面,这才是我们需要的功能!
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 502
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2216
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
前端 防止使用 target="_blank" 的恶意攻击
weixin_33809981的博客
04-11 517
危险的 target=”_blank” 当一个跳转链接 这么写的时候 &lt;a href="./target.html" target="_blank"&gt;target _blank&lt;/a&gt; 在新打开的界面,将会暴露一个 opener对象,简单的理解。这个对象就是父窗口的 windows对象,可以直接使用父窗口的方法, 比如通过window.opener.location = n...
a标签target=”_blank”的安全问题及解决办法
热门推荐
chinashanzhang的博客
03-13 2万+
一、定义 A 标签的 target 属性规定在何处打开链接文档。如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后将新的文档载入那个窗口。从此以后,超链接文档就可以指向这个新的窗口。target...
a标签 target=“_blank“ 打开新页面 安全问题
最新发布
m0_67413588的博客
12-14 1066
这样新窗口的window.openner就是null了,而且会让新窗口运行在独立的进程里,不会拖累原来页面的进程。除了安全隐患外,还有可能造成性能问题。如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性。另外,对于通过window.open的方式打开的新页面,可以这样做:​。
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 1977
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5024
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
target="_blank
qq_42512397的博客
11-07 1万+
1.使用HTML:target="_blank",在新的页面中打开链接,形成父子界面的关系。 _blank -- 在新窗口中打开链接  _parent -- 在父窗体中打开链接  _self -- 在当前窗体打开链接,此为默认值  _top -- 在当前窗体打开链接,并替换当前的整个窗体(框架页) 2.window.opener 的用法  window.opener 返回的是创建当前窗口的那...
target=“_blank“
bounsail的博客
03-04 2649
nofollow rel=’nofllow’的作用:告诉搜索引擎,不要将该链接计入权重;告诉搜索引擎不要通过使用此标记的链接传递任何值。在链接到信誉或可信度可能成为问题的网站时,可以使用 nofollow。 nofollow的使用 nofollow有两种用法: 1.用于meta元标签: <meta name="robots" content="nofollow" /> 告诉爬虫该页面上所有链接都无需追踪。 2.用于a标签: <a href="login.aspx" rel="nofoll
target="_blank"的使用
qq_32095903的博客
05-06 3711
_blank – 在新窗口中打开链接 _parent – 在父窗体中打开链接 _self – 在当前窗体打开链接,此为默认值 _top – 在当前窗体打开链接,并替换当前的整个窗体(框架页) 一个对应的框架页的名称 – 在对应框架页中打开整理了一下个人觉target=”_blank”的使用需要注意的地方:1,正文的注解一般都target=”_blank”;(让用户为了注解而离开正文是
为什么使用target="_blank" 属性时会出现安全漏洞
06-08
使用 `target="_blank"` 属性时可能会出现安全漏洞,原因是当用户点击链接时,浏览器会打开一个新的窗口或标签页,并且这个新的窗口或标签页可以通过 JavaScript 访问原始页面的对象,这就可能导致跨站脚本攻击(XSS)或其他安全漏洞。 例如,攻击者可以在打开的新页面中插入恶意脚本,来窃取用户的敏感信息或执行其他恶意操作。为了避免这种情况,建议在使用 `target="_blank"` 属性时,同时添加 `rel="noopener noreferrer"` 属性,以防止新页面访问原始页面的对象。 `noopener` 属性可以防止新页面访问原始页面的对象,`noreferrer` 属性可以防止新页面发送 Referer 头信息,这样可以进一步提高安全性,防止攻击者根据 Referer 头信息追踪用户的浏览行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值