iframe 禁止打开新窗口_打开新窗口的安全和性能问题

最新推荐文章于 2023-03-16 14:05:22 发布
最新推荐文章于 2023-03-16 14:05:22 发布
阅读量2.5k 收藏
点赞数
文章标签: iframe 禁止打开新窗口 iframe禁止新窗口打开 js 判断窗口是否已经打开了url js 打开新页面 js关闭当前页面打开新的页面 js打开新的窗口window

相信大部分同学都接到过"点击页面某个地方从新窗口打开一个页面"的需求, 一般这个需求都有一下两种处理方式来完成:

        1. a标签加上target="_blank"属性

        2. window.open(url)

但是以上两种处理方式可能会遇到已下问题:

        1. 用户账户或个人信息被盗取

        2. 打开新页面后, 原窗口页面出现卡顿情况

经过一顿猛操作去验证, 发现新窗口打开新页面可能出现安全问题和性能问题, 原因是Window对象的opener属性

(关于window opener属性解释摘自菜鸟教程)

5107dc98a5e4a679124c9baa9842c5da.png

废话不多说, 我们通过代码来检验

<html><head>  <meta charset="utf-8">  <title>原始页面title>head><body><h1 style="color: red;" id="alert-tips">h1><a href="./target.html" target="_blank">1.target _blanka><br><a id="btn-diff" href="javascript:void(0);">2.window.opena><br><a id="btn-open" href="javascript:void(0);">3.window.open并且设置opener为nulla><br><a id="btn-iframe" href="javascript:void(0);">4.新建iframe打开a><br><a href="./target.html" target="_blank" rel="noopener">5.target _blank noopenera><p id="random-number">0.6890402854817066p><script>  window.onload = function () {    var randomItem = document.getElementById('random-number'),      btnDiff = document.getElementById('btn-diff'),      btnIframe = document.getElementById('btn-iframe'),      btnOpen = document.getElementById('btn-open');    console.log('DOM READY');    btnDiff.addEventListener('click', function () {      window.open('./target.html');    });    btnIframe.addEventListener('click', function () {      iframeOpen('./target.html');    });    btnOpen.addEventListener('click', function () {      var child = window.open('./target.html');      child.opener = null;    })    var setRandom = function () {      randomItem.innerHTML = Math.random();      setTimeout(setRandom, 10);    }    checkHash();    setRandom();  }  window.onhashchange = checkHash;  function checkHash() {    if (location.hash.indexOf('#hack') >= 0) {      document.getElementById('alert-tips').innerHTML = '你被HACK了啊!这个页面的地址已经变了!';    }  }  /**   * Opens the provided url by injecting a hidden iframe that calls   * window.open(), then removes the iframe from the DOM.   *   * @param   {string} url The url to open   * @param   {string} [strWindowName]   * @param   {string} [strWindowFeatures]   * @returns {Window}   */  function iframeOpen(url, strWindowName, strWindowFeatures) {    var iframe, iframeDoc, script, openArgs, newWin;    iframe = document.createElement('iframe');    iframe.style.display = 'none';    document.body.appendChild(iframe);    iframeDoc = iframe.contentDocument || iframe.contentWindow.document;    openArgs = '"' + url + '"';    if (strWindowName) {      openArgs += ', "' + strWindowName + '"';    }    if (strWindowFeatures) {      openArgs += ', "' + strWindowFeatures + '"';    }    script = iframeDoc.createElement('script');    script.type = 'text/javascript';    script.text = 'window.parent = null; window.top = null;' +      'window.frameElement = null; var child = window.open(' + openArgs + ');' +      'child.opener = null';    iframeDoc.body.appendChild(script);    newWin = iframe.contentWindow.child;    document.body.removeChild(iframe);    return newWin;  }script>body>html>

(如上为origin.html)

<html><head>  <meta charset="utf-8">  <title>目标页面title>head><body><p id="content">p><script>  window.onload = function(arguments) {    hackOrigin();    superFunJankTime();  };  function hackOrigin() {    var content = document.getElementById('content');    if (window.opener) {      // console.log('window.opener', window.opener)      // console.log('opener', opener)      opener.location = './origin.html#hack';      content.innerHTML = 'HACK成功,再看看上个TAB?';    } else {      content.innerHTML = 'HACK失败。。。。';    }  }  function superFunJankTime() {    var start = Date.now();    while (Date.now() - start < 1000);    setTimeout(superFunJankTime, 1000);  }script>body>html>

(如上为target.html)

经过动手尝试后, 发现原来第1,2个跳转链接是可以通过window.opener.location=newUrl来重写原页面的url的, 即使与原窗口的页面不同域; 利用这种方式原始页面窗口的链接就被悄悄换成钓鱼页面的地址. 一般人也不会关注到url悄悄变了, 因此就会造成安全性问题.

那么, 透过上面的代码, 不难发现, 这个安全性问题可以通过3,4,5可以解决安全性问题; 但是, 如果透过3,4去发生跳转的话, 我们会发现一开始的页面上的一串鬼畜随机数, 偶尔有点小卡顿; 这个随机数是通过一个定时器生成的, 每隔一段时间就有一个持续循环. 这个循环在阻塞新页面本身的js线程的同时, 也阻止了opener(即打开了新页面的原始页面)里的js线程. 若这种类似的操作很多的话, 原始页面的可能会卡死;

问题来了, 为啥新窗口会影响原来窗口的线程呢? chrome不是每个标签页一个单独的进程吗? 进程内包含若干线程吗?

chrome确实有不同的标签页面使用不同的进程和线程, 但是有个例外, 通过a标签的target="_blank"属性, 或者window.open(url)在新窗口中打开页面, 会与原窗口共用进程和线程. 这是因为opener中含有DOM信息, 两个进程中同时hold住这个DOM信息, 在多个进程下很难控制, 于是放到一个进程里面

当然, 上述的问题也有对应的解决方案: 通过a标签上添加noopener属性, 可将新打开窗口的opener置为空. 这个方案可解决除IE以外的安全问题和所有现代浏览器的性能问题

总结一下:

1. 使a标签noopener属性, 将新打开的窗口opener置为空(推荐)

    特点: 可解决除IE外的安全问题和所有现代浏览器的性能问题

2. window.open并设置opener为空

    特点: 可解决所有除safari下的安全问题, 无法解决性能问题

var newWindow = window.open();newWindow.opener = null;newWindow.location = 'url';newWindow.target = '_blank';

3. 新建iframe中打开新窗口, 然后关掉iframe

    特点: 可解决safari下的安全问题, 无法解决性能问题

weixin_39548776
关注
vue解决打开新窗口被拦截的的实战方法
weixin_44251396的博客
01-06 3358
解决方案: 1. 使用a标签替代 给出如下函数,将此函数绑定到click的事件回调,就可以避免大部分浏览器窗口弹出的拦截。 newLink(url) { let a = document.createElement(‘a‘); a.setAttribute(‘href‘, url); a.setAttribute(‘target‘, ‘_blank‘); ...
禁止iframe页面的所有js脚本如alert及弹出窗口
10-25
一个页面里面需要放一个iframe框架来预览网站,可是被预览的这个网站含有很多js脚本,于是想禁止iframe里面的脚本,下面是方法
iframe阻止页面新窗口打开/不允许跳出的方法
仿站、源码搭建/迁移技术博客
03-16 3750
iframe嵌入的网站,如果有_blank新窗口打开的链接,会跳出iframe框架,如何防止跳出呢?Ps:经测试还有些不完美,新窗口打开的链接是不会跳出了,但也不会跳转了(通俗讲就是链接死了)。朋友们如果有更好的解决方案,可评论区留言交流。HTML5特性的sandbox属性。
如何限制iframe内网页打开新窗口_网页外链用了 target="_blank",结果悲剧了...
weixin_39657444的博客
11-29 2740
来自公众号:1024译站今天给大家分享一个 Web 知识点。如果你有过一段时间的 Web 开发经验,可能已经知道了。不过对于刚接触的手来说,还是有必要了解一下的。我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给a标签添加一个target="_blank"属性。1024译站顺便提下一个有意思的现象,很早之前我就发现,国外网站倾向于在当前页跳转,而国内网...
VUE实现嵌入Iframe页面打开新窗口
weixin_43758835的博客
07-15 1765
vue项目里嵌入Iframe页面,在当前页面展示
如何限制iframe内网页打开新窗口_网页链接应该在新窗口打开吗?
weixin_39848097的博客
12-03 1565
先罗嗦几句。第一次翻外面的文。前面正在讨论这个问题呢,正好看到一个的文说相关的问题,于是想跟大家分享下,就做了。本文的一些观点还是很不错的,老外想问题逻辑性很强。后部分的时候翻的都有点恼火,觉得这家伙太罗嗦。不过确实严谨——虽然看起来有点买弄学问的味道。。也许因为偶心里没有佛吧。。  文中有些观点和国内的情况也不是很适合,但大部分都值得参考  以后想把这样的文持续翻下去,有不好的地方,请大家多...
史上最全最前端面试题(不定期更,有问题欢迎评论区对线)
lb_nizhanban的博客
06-13 2308
一阶段面试题: CSS浮动怎么理解的 浮动的框可以向左或向右移动,直到它的外边缘碰到包含框或另一个浮动框的边框为止。 由于浮动框不在文档的普通流,也就是脱离文档流,所以文档的普通流的块框表现得就像浮动框不存在一样。一般使用float来实现浮动,联系=》清除浮动的相关方法。27题 绝对定位相对定位怎么理解 absolute:绝对定位,将对象从文档流拖离出来,使用left/right/top/bottom等属性相对其最接近的一个并有定位设置的父元素进行绝对定位;如果不存在这样的父对象,则依据根元素
2022Java经典面试题总结(附问题和答案)
AlanChen的博客
05-20 3911
 Java基础  面向对象 封装:封装的意义,在于明确标识出允许外部使用的所有成员函数和数据项,内部细节对外部调用透明,外部调用无需修改或者关心内部实现 继承:继承基类的方法,并做出自己的改变和/或扩展,子类共性的方法或者属性直接使用父类的,而不需要自己再定义,只需扩展自己个性化的 多态:基于对象所属类的不同,外部对同一个方法的调用,实际执行的逻辑不同  JDK、JRE、JVM之间的区别 JDK:Java Develpment Kit java 开发工具 JRE:Java Runt
2020最版Selenium异常集锦
公众号已改名为-程序员阿沐
10-28 1180
2020最版Selenium异常集锦
2022年最前端面试题(大前端时代来临卷起来吧小伙子们..持续维护走到哪记到哪)
m0_55613022的博客
02-24 3184
HTML和Css部分 1、对BFC规范(块级格式化上下文)的理解 BFC 块级格式化上下文 一块独立的区域,有自己的规则,bfc的元素与外界的元素互不影响 BFC是一块用来独立的布局环境,保护其内部元素不受外部影响,也不影响外部。 怎么触发BFC 1. float的值left或right 2. overflow的值不为visible(默认) 3. display的值为inline-block、table-cell、table-caption 4. position的值为absolute(绝对定位)或f
JS的location.href跳出框架打开新页面的方法
10-25
登录页面在框架内打开,想让它直接跳出框架打开(这里不是打开新窗口),终于在网上找到了办法,下面分享给大家
iframe弹出窗
09-23
很不错iframe弹出窗口,通过div+diag实现
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
iframe 禁止打开新窗口_教育部政策:禁止学生复读?
weixin_39713805的博客
11-06 84
阅读本文前,请您先点击上面的蓝色字体,再点击“关注”,这样您就可以免费收到最内容了。每天都有分享,完全是免费订阅,请放心关注。注:本文转载自网络,如有侵权,请联系删除在学生阶段,考和高考是人生最重要的考试,其备受关注的就是高考,其次是考。考的热度和难度虽然比不上高考,但这也是改变学生命运的一场考试,如果考成绩较好,就有机会进入当地的重点高学习,这种学校的教育资源与师资力量...
如何限制iframe内网页打开新窗口_浅谈百度Mip规范与谷歌AMP网页规范
weixin_39730671的博客
12-01 236
本文,我们简单介绍下百度Mip规范与谷歌AMP网页规范,供您参考使用。百度Mip网页加速技术MIP移动端网页加速技术什么是mip网站页面改造?Mip是Mobile Instant Pages的英文单词缩写,翻译过来就是移动端网页加速。它是百度公司推出的一套应用于移动端网页开发的开放性技术标准。Mip技术通过提供mip-HTML规范、mip-js运行环境以及mip-Cache页面缓存系统,来实现移动...
如何限制iframe内网页打开新窗口_刷网页更爽了!Edge隐藏的标签分组功能你玩过吗...
weixin_39915367的博客
11-28 374
[PConline 技巧]如果几个标签同属于一个网站,将它们分组批量化管理,可以大幅提升浏览效率,这就是Microsoft Edge(Chromium内核)一项隐藏功能——标签分组Tab Groups。Edge浏览器隐藏的标签分组功能1. 如何打开Tab Groups标签分组Tab Groups是Microsoft Edge(v83版)一项隐藏功能,无法通过选项打开,我们可以借助下面这个方法加...
a href链接弹出新窗口的方法
热门推荐
互联网-从零开始
12-08 9万+
如今大部分浏览器都是标签式的浏览器,即打开一个链接时默认情况一般都在本标签或开一个标签页打开,但是有时候我们想弹出一个的小窗口显示页面,那么如何设置呢? 1,直接定义链接的target为_blank 仅仅使用。。。是不够的,这个一般只会在标签页打开。 2,定义onclick事件处理函数 function openNewWin(url) { window.open(url); }
js 设置 iframe打开新窗口_华为手机网速慢、通话不清晰?你打开这个设置,网速、通话飙升!...
weixin_33050129的博客
12-13 190
阅读本文前,请您先点击上面的“议科技”,关注,这样您就可以继续收到最文章了。每天都有分享。完全是免费订阅,请放心关注。不论现在的智能手机功能有多么的强大,最少有两点是我们无法忽视的,一、通话质量;二、上网的流畅性。 首先,通话是手机最基本的功能,它能确保我们能随时随地让我们保持与外界的连接而不会产生失联...
HTML Iframe框架的使用以及如何禁止在框架内(外)打开页面,超简单超实用一行代码就搞惦
BUG制造者:图图 <p>这是一个P标签</p>
05-22 4837
窗口框架体系,top变量是JavaScript引用最顶层框架的最直接办法。如果网页直接在窗口打开,而非一个框架,那么此时的top变量等同于window对象,也等同于self对象。所以,top和self是否等同,可以作为网页是否在一个框架打开判断标准。​​​​​​​
iframe 打开新窗口
最新发布
06-02
可以使用以下代码在 iframe 打开一个新窗口: ```html <a href="https://example.com" target="_blank" rel="noopener noreferrer">在新窗口打开</a> ``` 在这个代码,`href` 属性指定了要打开页面URL,`target="_blank"` 属性指示浏览器新窗口打开页面。`rel="noopener noreferrer"` 属性用于安全性,防止在新窗口打开页面访问原始页面的 `window.opener` 对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值