关于HTML中a标签的重大安全性漏洞!!!

已于 2022-11-02 09:30:04 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: 前端 文章标签: a标签 a标签安全漏洞 前端安全性 html
于 2019-09-05 16:04:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28584685/article/details/86366726
版权

前端开发过程中我们经常会用到<a target="_blank">标签来打开新的窗口
这是很常见的操作,大部分人也是这么做的
但是其中是有很大的安全漏洞的
举例说明
a.html

<html>
	<body>
		<a href='b.html' target="blank">点击跳转b页面</a>
	</body>
</html>

b.html

<html>
	<script type="text/javascript">
		window.opener.location = 'http://www.baidu.com'
	</script>
</html>

PS:window.opener 返回的是创建当前窗口的那个父窗口的引用

把这两个页面放在桌面上,先运行a页面,当打开b的时候,我们可以发现,此时a页面已经跳转到百度了
设想一下,假如我在b页面 js中写入的网站是和a页面一模一样的钓鱼网站呢,是不是有可能造成非常严重的后果!!!!
所以我们以后在使用a标签的时候 切记加上 rel="noopener"属性!!!!不使用 rel=noopener就是让用户暴露在钓鱼攻击上!!!!

我只会写Bug啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
html<a>标签的安全问题
Learn-anything.cn
11-16 3066
1、问题描述 <a href="https://learn-anything.cn" target="_blank"/> # 上面的写法,出现下面的警告信息: warning Using target="_blank" without rel="noreferrer" is a security risk: see https://html.spec.whatwg.org/multipage/links.html#link-type-noopener react/jsx-no-targe
TOPCVE
03-30
【标题】"TOPCVE"指的是网络安全领域的一个重要概念,它代表了“顶级常见脆弱性披露”(Top Common Vulnerabilities and Exposures)。这个术语通常用于指代那些对网络安全构成重大威胁、广泛影响众多系统或应用的...
Html可能存在的漏洞
永不垂头的博客
07-23 2043
学习笔记—Html可能存在的漏洞 Html可能存在的漏洞 HTML称为超文本标记语言,是一种标识性的语言。它包括一系列标签.通过这些标签可以将网络上的文档格式统一,使分散的Internet资源连接为一个逻辑整体。HTML文本是由HTML命令组成的描述性文本,HTML命令可以说明文字,图形、动画、声音、表格、链接等。 <p></p>段落 <div></div>块 基础、网页必备 纯的html 基本上是不漏洞 点击劫持 ```javascript ```
html 表单 漏洞,Microsoft Internet Explorer HTML表单对象远程代码执行漏洞(MS09-034)
weixin_42447265的博客
06-21 211
Bugraq ID: 35826CVE ID:CVE-2009-1918Microsoft Internet Explorer是一款流行的WEB浏览器。Microsoft Internet Explorer在特定条件下处理表单操作存在问题,远程攻击者可以利用漏洞以应用程序权限执行任意指令。攻击者需要构建恶意WEB页,诱使用户访问来触发此漏洞,目前没有详细漏洞细节提供。Microsoft Inter...
html代码漏洞,Apache Struts多个HTML代码注入漏洞
weixin_35733151的博客
06-10 140
POC 1:-----Stored XSSPOST struts2-showcase/person/editPerson.action HTTP/1.1Host: SERVER_IP:8080User-Agent: struts2-showcase XSS-TESTContent-Type: application/x-www-form-urlencodedContent-Length: 192P...
HTML协议有漏洞 网民可能成“枪手”
8080的专栏
08-24 853
HTML协议有漏洞 网民可能成“枪手”2001-8-23 13:03:45,阅读次数: 746新闻内容:  日前,德国的独立编程人员托普夫称,他发现黑客可以利用普通的互联网浏览器在用户不知情的情况下,假他们之手向服务器发动攻击。 托普夫上周在其名为《HTML表格协议攻击》的论文指出,黑客使用的技术与正常的网页获取用户输入的信息时所使用的技术相同。在正常的网页HTML代码将用户提交
更新站点
02-12
许多网站都是基于WordPress、Joomla、Drupal等CMS构建的,这些系统定期发布安全更新和功能增强,以保持其性能和安全性。更新CMS时,需要确保所有主题和插件与新版本兼容,防止出现功能异常或安全漏洞。 此外,...
EuBe0909:修补和发明
05-31
在IT行业,修补工作是日常维护的一部分,它包括修复代码错误(bug)、优化性能、提升安全性等。开发者通过发布补丁或更新来解决这些问题。而“发明”则可能涉及到了软件的新特性开发、技术创新或者对现有流程的...
thexpatmagazine.com
03-21
6. **安全性**:考虑到网站可能处理用户的个人信息,新网站重视安全措施,如SSL证书以确保数据传输加密,以及定期的安全更新和漏洞修复。 7. **性能优化**:为了提供快速加载速度,网站可能进行了性能优化,如...
[博客空间]O-Blog 2.6 build 080705 简体文正式版_o-blog.zip
最新发布
03-17
2. **安全性增强**:修复了已知的安全漏洞,提升了系统的安全性。 3. **界面优化**:对后台管理界面进行了美化,操作更加直观易用。 4. **新功能添加**:如增加了文章分类管理,便于组织和检索内容。 总结,O-...
使用a标签时,可能忽略的一个安全问题
txun123的博客
04-09 911
本篇文章将说到a标签_blank的缺陷和同进程产生的问题和解决方法,a标签有什么安全问题?有兴趣的小伙伴,可以来看一下哦~ a标签_blank的缺陷: 当一个链接使用target="_blank"的方式,这个链接打开一个新的TAB,但和原始页面[点击链接页]占用一个进程。如果新的页面因为资源过大或有一个很高的加载时间,那么也影响到原始页面的展示。 同进程产生的问题 同域:可以在新页面访问到原始页内的所有内容,包括document对象,方法(window.opener.document) 异
htmlcsrf漏洞代码,使用CSRF漏洞攻击D-link路由器全过程
weixin_42306503的博客
06-10 311
1,介绍本文的目的是展示CSRF漏洞的危害,以D-link的DIR-600路由器(硬件版本:BX,固件版本:2.16)的CSRF漏洞为例。D-link的CSRF漏洞已经是公开的,本文将详细描述一下整个D-link CSRF漏洞的利用,如何通过CSRF漏洞实现远程管理访问D-link路由器。2,CSRF漏洞说明如果某些request请求没有csrf token或不需要密码授权,存在CSRF漏洞...
使用<a>标签时,你可能忽略的一个安全问题
偏执
07-21 233
这是一篇很短的文章,主要介绍了在使用标签打开一个新窗口过程的安全问题。新页面可以使用来控制原始页面。如果新老页面同域,那么在新页面可以任意操作原始页面。如果是不同域,新页面依然可以通过,访问到原始页面的location对象。试想一下,你在自己的a页面,通过打开新窗口,跳转到了b页面,此刻b页面有一段代码。这是,a页面就自动跳转到c页面。如果这个c页面是一个和a页面长得一样的钓鱼网站,那么用户可能就招了。解决方法就是:在带有的标签,加上属性。如果使用的方式打开页面,将opener。
使用<a>标签时,你可能忽略的一个安全问题
muzidigbig的博客
01-11 976
在一个新窗口打开链接是前端开发一个很常见的逻辑,它可以将用户引导到一个新的域名。我们可以用target='_blank'来实现这个功能。我敢肯定,每个人都在他的某个项目使用过target='_blank,但是我不确定是否每个人都知道这种用法的缺陷。       当一个外部链接使用了target='_blank'的方式,这个外部链接打开一个新的浏览器tab。此时,新页面打开,...
HTML a标签打开新标签页避免出现安全漏洞,请使用“noopener”
程序员阿飘 的博客
01-10 434
用户从你的页面重定向到域,此时,浏览器将你当前网站的所有 window 变量内容附加到恶意网站的 window.opener 变量。默认情况下,新版的Safari在所有情况下删除 window.opener,要将窗口信息传递给新的标签页,你必须明确指定 rel='opener'。恶意网站一旦通过 window.opener 访问了你的网站的 window 变量,它可以将你之前的网站重定向到一个新的。,这个网站可能与你打开的实际网站相似,甚至可能要求你再次登录。
常见的WEB漏洞——HTML5安全与防御
weixin_43815032的博客
04-25 225
HTML5安全与防御 一、HTML5概述 HTML5 是定义 HTML 标准的最新的版本,5的原因是它是HTML的第五次重大修改,标准于14年10月29日完成。作为HTML的升级版,它有更大的技术集,引入了新的标签、属性、方法和功能等,允许更多样化和强大的网站和应用程序。 比如说新增了<section>, <article>, &lt...
查看HTML代码却被当黑客,记者好心报告漏洞,反遭美国州长起诉
量子位
10-27 294
兴坤 发自 凹非寺量子位 报道 | 公众号 QbitAI右键查看网页HTML源代码,这也能被当作黑客攻击行为?你还别不信,被认定为黑客的当事人甚至面临刑事起诉,并且是州长亲自放话那种。这究...
HTML5特性与漏洞
zuoyidaren的博客
12-02 386
1.什么是 HTML5? HTML5 将成为 HTML、XHTML 以及 HTML DOM 的新标准。 HTML 的上一个版本诞生于 1999 年。自从那以后,Web 世界已经经历了巨变。 HTML5 仍处于完善之。然而,大部分现代浏览器已经具备了某些 HTML5 支持。 为 HTML5 建立的一些规则: 新特性应该基于 HTML、CSS、DOM 以及 JavaScr...
<a>标签target=“_blank“ 焦点窃取漏洞
mirocky的博客
12-21 482
1、标签使用target="_blank"时,代表打开一个新的页面,此时新开的页面与旧页面存在从属关系,新页面可以使用window.opener操作旧页面,造成漏洞;2、目前高级浏览器已修复该漏洞,以下实现均在IE模式下;
Discuz!X安全漏洞详解
是一个广泛使用的开源社区论坛软件,但随着时间的推移,它的一些历史版本出现了一系列的安全漏洞,特别是SQL注入问题。SQL注入是一种常见的网络安全威胁,攻击者可以通过构造恶意的SQL语句来获取、修改或删除...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我只会写Bug啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值