Using target=“_blank“ without rel=“noreferrer“ (which implies rel=“noopener“) 【前端安全】

最新推荐文章于 2023-04-11 16:14:00 发布
最新推荐文章于 2023-04-11 16:14:00 发布
阅读量698 收藏
点赞数
分类专栏: React 文章标签: 前端 javascript html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63779088/article/details/125955875
版权

React中只使用target="_blank"会出现警告,是因为你开启了eslint校验

警告如下

看似很麻烦,其实只需要加上

rel="noopener noreferrer"

就可以了

现在,许多主流的互联网服务提供商都会在网页的链接地址中加入target=”_blank”属性,而这绝对是一种非常不安全的行为。不仅如此,target=”_blank”属性还将会使广大互联网用户暴露在钓鱼攻击的风险之下。

如果只是加上 target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。

某些属性的访问被拦截,是因为跨域安全策略的限制。 但是,比如修改window.opener.location的值,指向另外一个地址。

即可以造成刚刚还是在某个网站浏览,随后打开了新窗口,结果这个新窗口神不知鬼不觉地把原来的网页地址改了。此时,就可以通过页面伪装,比如伪装成登陆页等,来让用户输入账号密码,从而到达黑客的目的。

另外target="_blank"新打开的窗口和跟原来的页面窗口共用一个进程,非常容易使原来页面的性能受影响

target="_blank"关乎前端安全,是为了防止页面滥用window.opener,使用rel=noopener,这样做保证了window.opener是null

DC...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 223
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
eleventy-plugin-automatic-noopener:一个11ty插件,可以自动将rel =“ noopener”或rel =“ noreferrer”属性添加到所有外部链接
05-15
自动开门器一个插件,可将rel="noopener"或rel="noreferrer"属性自动添加到所有外部链接。安装npm install eleventy-plugin-automatic-noopener用法在您的(默认为.eleventy.js ): const automaticNoopener = ...
html中<a>标签的安全问题
Learn-anything.cn
11-16 3015
1、问题描述 <a href="https://learn-anything.cn" target="_blank"/> # 上面的写法,会出现下面的警告信息: warning Using target="_blank" without rel="noreferrer" is a security risk: see https://html.spec.whatwg.org/multipage/links.html#link-type-noopener react/jsx-no-targe
React:有关a标签控制台警告的一些问题
本以为成功很简单,没想到活成普通人都需拼尽全力!
02-06 740
近几日在写react项目的时候,发现了一些问题,特此记录!
安全基础&&HTML5
ikta的博客
07-29 837
符合 HTML 语法标准的网页,应该满足下面的基本结构。 不管多么复杂的网页,都是从上面这个基本结构衍生出来的。前面说过,HTML 代码的缩进和换行,对于浏览器不产生作用。所以,上面的代码完全可以写成一行,渲染结果不变。上面这样分行写,只是为了提高可读性。下面就依次介绍,这个基本结构的主要标签。它们构成了网页的骨架。网页的第一个标签通常是,表示文档类型,告诉浏览器如何解析网页。一般来说,只要像下面这样,简单声明为即可。浏览器就会按照 HTML 5 的规则处理网页。 有时,该标签采用完全大写的形式,以便区别于
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 4946
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
jekyll-target-blank:在新的浏览器中自动为Jekyll页面,帖子和文档打开外部链接
02-04
自动为Jekyll内容中的所有外部链接添加target="_blank" rel="noopener noreferrer"属性,并为外部链接添加其他一些自动化功能。 安装 将以下内容添加到您网站的Gemfile gem 'jekyll-target-blank' 并将以下内容...
noreferrer.js
05-12
noreferrer.js
noreferrer去除网页跳转refer
12-13
noreferrer去除网页跳转refer,使得跳转页面refer为空
digibit-employee-directory:可过滤的员工目录页面-由React.js构建并在Figma中设计
05-08
DigiBit React.js员工目录客观的使用React从零开始构建员工目录网页。项目详情具有我为此项目设计的自定义徽标和配色方案... 在元素上使用rel="noopener noreferrer"来防止target="_blank"允许外部页面访问window.open
超链接target="_blank"要增加rel="noopener"
u012841667的专栏
10-28 2825
原文:https://my.oschina.net/jsan/blog/741317 如果你在链接上使用 target=”_blank”属性,并且不加上rel=”noopener”属性,那么你就让用户暴露在一个非常简单的钓鱼攻击之下。
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 1930
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
Using target=“_blank“ without rel=“noreferrer“ is a security risk:
肖肖肖丽珠的博客
09-13 1880
<a href="https://github.com/reactjs" target="_blank"> <img src="https://avatars.githubusercontent.com/u/6412038?v=3" style={{width: '100px'}}/> </a> 报错提示:使用 target="_blank"的时候没有带上rel="noreferrer...
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 494
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
a标签 链接 target=”_blank” 为什么要增加 rel=”noopener noreferrer
运维密码
04-11 1174
在<a></a>中使用target="_blank" 那么会得到以下错误提示: Using target="_blank" without rel="noopener noreferrer" is a security risk: see https://mathiasbynens.github.io/rel-noopener [react/jsx-no-...
eslint整改代码遇到的问题和解决方案
热门推荐
weixin_42436131的博客
11-12 2万+
1.Identifier xxxxxx is not in camel case. 问题描述:意思就是xxxxxx这个没有用驼峰法命名 举例:<img src={default_logo} alt="图标" />像这里的default_logo 解决:命名改成驼峰法就行<img src={defaultLogo} alt="图标" />     2.xxxxxx is never reassigned. Use const instead. 问题描述:意思就是xxxxxx这个定义了但
Spring Boot项目的一个警告提示
ZLlongWei的博客
12-02 465
none and -noverify were deprecated in JDK 13 and will likely be removed in a future release.
超链接 target="_blank" 要增加 rel="noopener noreferrer"
蜗牛先生
01-08 8596
我在a标签上使用了target="_blank": <a href="xxx" target="_blank" >了解更多</a> 然后代码就飘红了,显示如下错误: Using target="_blank" without rel="noopener noreferrer" is a security risk: see https://m...
<a href="https://www.example.com" target="_blank" rel="noopener noreferrer" download="example.pdf" title="Example Link">Example Link</a>这段代码具体意思说下
最新发布
06-08
- `rel="noopener noreferrer"`:指定该链接与页面之间的关系,其中 `noopener` 和 `noreferrer` 分别表示在打开链接的新窗口中不允许访问原始窗口的属性,以增强安全性。 - `download="example.pdf"`:指定该链接应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值