前端 防止使用 target="_blank" 的恶意攻击

最新推荐文章于 2024-04-22 09:27:03 发布
最新推荐文章于 2024-04-22 09:27:03 发布
阅读量525 收藏
点赞数
文章标签: javascript 前端 ViewUI
原文链接:https://juejin.im/post/5acdedef6fb9a028cc619638
版权

危险的 target=”_blank”

当一个跳转链接 这么写的时候 <a href="./target.html" target="_blank">target _blank</a> 在新打开的界面,将会暴露一个 opener对象,简单的理解。这个对象就是父窗口的 windows对象,可以直接使用父窗口的方法, 比如通过window.opener.location = newURL来重写父页面的url,即使与父窗口的页面不同域,跨域的情况下也生效,可以在用户不知情的情况下,悄悄的改了原有的界面,等用户在回头使用时,却已被钓鱼,严重的,可以诱导用户输入敏感信息。

解决方案

  1. 使用noopener属性

通过在a标签上添加这个noopener属性,可以将新打开窗口的opner置为空

<a href="./target.html" target="_blank" rel="noopener">target _blank noopener</a>

  1. window.open并设置opner为空
var otherWindow= window.open();
otherWindow.opener = null;
other = 'http://newurl';
复制代码

旧版本浏览器

对于旧版本浏览器和火狐浏览器,可以加上 rel="noreferrer" 更进一步禁用 HTTP 的 Referer 头

总结

总而言之,如果使用了 target="_blank" 打开外部页面,就必须加上 rel="noopener noreferrer" 属性以保证安全

参考 在新窗口中打开页面?小心有坑!

weixin_33809981
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 232
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
Vue配置marked链接添加target="_blank"的方法
10-16
然而,默认情况下,marked不会自动添加`target="_blank"`属性到Markdown中的链接,这意味着链接会在当前窗口打开。为了解决这个问题,我们需要自定义marked的渲染器(Renderer)来实现链接在新窗口打开的功能。 ...
网页打开新窗口target=_blank不符合标准
10-30
我们要在新窗口中打开链接通常的做法是在链接后面加target="_blank",我们采用过渡型的DOCTYPE(xh tml1-transitional. dtd)时没有问题,但是当我们使用严格的DOCTYPE(xhtml1-strict.dtd)时,这个方法将通不过W3C的校验,会出现如下错误提示:
前端代码常见的安全缺陷(一)
最新发布
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
04-22 1902
使用标签中使用target属性,当值设置为“_blank攻击者会针对`window.opener`API进行恶意行为的攻击,有可能导致钓鱼安全漏洞问题。例如,以下示例使用的`target`属性,但是没有设置`rel`属性。
target=“_blank“有啥安全性问题?如何防范?
cxz
11-05 615
问题 在调用window下的open方法创建一个新窗口的同时,可以获得一个创建窗口的opener句柄,通过target="_blank"点开的窗口活着标签页,子窗口也能捕获opener句柄,通过这个句柄,子窗口可以访问到父窗口的一些属性,虽然很有限,但是却可以修改父窗口的页面地址,让父窗口显示指定的页面。 防范 如果需要限制window.opener的访问行为,我们只需要在原始页面每个使用target="_blank"的链接中加上一个rel="noopener"属性。 但是,火狐并不支持这个属性值,火狐
关于a标签【target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 528
关于a标签【target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 522
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
谈谈target=_new和_blank的不同之处
11-30
本文将深入探讨`target="_new"`与`target="_blank"`之间的区别。 首先,`target="_new"`并不是HTML标准中的预定义值,但在一些教程或实践案例中,人们可能会使用它来指代`target="_blank"`的效果。然而,严格来说,...
html base标签 target=_parent使用介绍
09-28
base标签为页面上的所有链接规定默认地址或默认目标,浏览器随后将不再使用当前文档的 URL,而使用指定的基本 URL 来解析所有的相对 URL,感兴趣的朋友可以参考下哈
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2306
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
a标签target=”_blank”的安全问题及解决办法
热门推荐
chinashanzhang的博客
03-13 2万+
一、定义 A 标签的 target 属性规定在何处打开链接文档。如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后将新的文档载入那个窗口。从此以后,超链接文档就可以指向这个新的窗口。target...
target="_blank" 安全漏洞
喜欢文学的程序员
04-26 998
工作中,经常在<a>标签中添加target="_blank",用来在新窗口打开页面,尤其是打开外链应用率几乎是100%。可是最近看到这竟然有一个巨大的安全隐患: 比如在index.html中跳转到index2.html <a href="index2.html" target="_blank">link</a> 在index2.html中添加一段js代码...
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 2044
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5240
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
符合W3C标准的target=_blank形式
weixin_33915554的博客
11-08 126
< DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd> web标准取消了target="_blank",新标准使用的是rel="external"属性,包括next、previous,、chapter、section等值。 现在要写...
实例讲解 target=’_blank’ 安全漏洞
孙_常乐的博客
05-07 1127
如果你在页面上的超链接a标记上添加了target="_blank"属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。if (window.opener) { window.opener.location = "https://www.webhek.com"; }通常我们知道使用 window.open...
危险的 target=“_blank” 与 “opener”
码飞_CC的博客
07-09 693
在学习安全研发规范的时候,发现一条规则“通过 A 标签跳转到其他页面且使用 target=_blank 时,必须添加 rel=noopener 属性”,这个以前还真没了解到,遂查询了一下,发现一片文章写得挺不错的,这里就不自己写,转载一下了(危险的 target="_blank" 与 “opener”) 以下来自转载: 在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 a 标签上添加 target等于"_blank" 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之
vue前端防止sql注入
08-22
在Vue前端中,为了防止SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询:在前端与后端的数据交互过程中,使用参数化查询(Prepared Statements)来构造SQL语句。通过预编译SQL语句,并将参数传递给数据库进行处理,可以有效地防止SQL注入攻击。例如,使用预编译类PreparedStatement来代替拼接字符串的方式构建SQL语句。 2. 对输入数据进行验证和过滤:在前端对用户输入的数据进行验证和过滤,确保只有合法的数据通过。可以使用正则表达式、白名单等方式对输入数据进行限制和过滤,防止恶意的SQL注入语句被执行。 3. 使用安全的框架和库:选择使用经过安全验证的框架和库,这些框架和库通常会提供一些安全机制和防护措施,帮助你有效地防止SQL注入攻击。 4. 限制数据库用户权限:在数据库层面,通过为数据库用户分配最小权限来限制其对数据库的操作范围,避免注入攻击对数据库的破坏。 总结起来,为了防止SQL注入攻击,需要在前端进行数据验证和过滤,使用参数化查询来构建SQL语句,并在数据库层面限制用户权限。这样可以有效地提高系统的安全性,防止SQL注入攻击的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [防止SQL注入](https://blog.csdn.net/u014644574/article/details/124452889)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [前端参数效验防止sql注入的方法](https://blog.csdn.net/weixin_43578304/article/details/127907126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值