防止<a target=“_blank“>注入攻击网站

于 2023-07-21 14:37:02 发布
阅读量70 收藏
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43896145/article/details/131851511
版权 
<li>
  <a href="bad.example.com" target="_blank">Vulnerable target using html link to 
   open the new page</a>
</li>


if (window.opener) {
window.opener.location = "https://phish.example.com";
}

解决措施:

add rel="noreferer, ,noopener" to avoid this issue wherever target="blank" is placed.

<a href="xxxx"rel="noreferer,noopener" target="_blank" style="text-decoration:none;">
  <button type="button">Download Now</button>
</a>

十三月❀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
前端开发:a标签的使用
qq_57210034的博客
05-23 2104
目录 1.a标签作用 2.a标签的属性 2.1 href属性 2.2 Target属性作用: 2.2.1 Target属性blank的作用 2.2.2 Target属性self的作用 2.2.3 Target属性parent的作用 2.2.4 Target属性top的作用 2.2.5 Target属性framename的作用 2.3Target标签对seo的作用: 1.a标签作用 <a href="URL">点击跳转</a> 2.a标签的属性 2..
a标签 target=“_blank“ 打开新页面 安全问题
最新发布
m0_67413588的博客
12-14 1323
这样新窗口的window.openner就是null了,而且会让新窗口运行在独立的进程里,不会拖累原来页面的进程。除了安全隐患外,还有可能造成性能问题。如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性。另外,对于通过window.open的方式打开的新页面,可以这样做:​。
HTML中a标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性值
BOKEhhh的博客
04-05 2万+
本文记录了对HTML中<a>标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性值的效果的测试。 使用<frame>标签,做一个有框架的网页,为了能看出HTML中<a>标签的target属性的“_self”和“_parent”这2个属性值的不同效果,需要这个网页还有框架的嵌套,框架思路如下图所示: 该...
阻止a标签默认行为的方法
小皮咖的博客
11-23 376
以下简单总结以下a标签阻止默认行为的几种简单方法,希望可以对有需要的朋友有些帮助,(1) <a href="javascript:void(0);" onclick= "myjs( )"> Click Me </a>onclick方法负责执行js函数,而void是一个操作符,void(0)返回undefined,地址不发生跳转。<a href="javascript:;" > Click
【小记】a标签target=‘_blank’的安全问题
m0_48619216的博客
06-13 749
我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性。​ 顺便提下一个有意思的现象,很早之前我就发现,国外网站倾向于在当前页跳转,而国内网站喜欢打开新窗口。不信你们可以去验证下。我不知道这是交互设计上的文化差异,还 是技术上的开发习惯。​ 当然,这两种方式各有优缺点。当前页跳转显得操作比较有连贯性,不会贸然打断用户的注意力,也会减少浏览器的窗口(tab 页)数量。但是对于需要反复回到初始页面的场景 来说,就很麻烦了。比如搜索结果
动态创建a标签,解决部分浏览器阻拦问题
看陌生的风景的博客
07-22 797
// 方法一 (触发点击事件,不新打开一页) const a = $("<a><i id='selfClick'></i></a>"); a.attr('href', items.videoUrl); $('body').append(a); a.css('display', 'none'); $('#selfClick').click(); a.remove(); // 方法二 (.
网页打开新窗口target=_blank不符合标准
10-30
我们要在新窗口中打开链接通常的做法是在链接后面加target="_blank",我们采用过渡型的DOCTYPE(xh tml1-transitional. dtd)时没有问题,但是当我们使用严格的DOCTYPE(xhtml1-strict.dtd)时,这个方法将通不过W3C的...
Vue配置marked链接添加target="_blank"的方法
10-16
return html.replace(/^<a /, '<a target="_blank" '); }; // 使用自定义的renderer解析markdown文本 const html = marked(markdownContent, { renderer }); ``` 在这里,我们创建了一个新的renderer对象,并覆盖...
谈谈target=_new和_blank的不同之处
09-01
这在`code3`中的`<a href="t_blank.html" target="_blank"> blank一个新anchor </a>`得到了体现。每次点击这个链接,浏览器都会创建一个新的窗口或标签页来显示`t_blank.html`,而不是重用现有的窗口或标签页。 ...
html base标签 target=_parent使用介绍
09-28
- `target`属性则定义了所有链接(包括`<a>`、`<img>`、`<link>`、`<form>`等)打开时的默认窗口或框架。这可以防止因为忘记在每个链接中设置`target`属性而导致的意外行为。 - `_self`:这是默认值,表示链接将在...
关于禁用html中a标签的思考
gaohuanjie的专栏
05-12 1万+
其实这个问题在初次学习html中select标签时就已经冒出来了,时至今日,依然没有找到使用纯css禁用a标签的办法——同事、同学、老师我都问过了,他们都千篇一律借助了JavaScript,难道真的必须要借助JavaScript吗?
HTML中a标签和target=“_blank“属性的使用方法及作用(清晰易懂,带例子)
m0_53558236的博客
11-23 2万+
HTML中标签和target="_blank"属性的使用方法及作用(清晰易懂,带例子)
【Html】a标签target: ‘_blank‘, rel: ‘noopener‘
CCC0203的博客
12-20 2442
为了安全性。 使用target=’_blank’打开一个新标签时,新页面的window对象上有一个属性opener,它指向的是前一个页面的window对象,因此,后一个页面就获得了前一个页面的控制权。 比如的 a 标签是这样<a href='/index'>打开连接</a>,打开后在控制台输入 window.opener.alert(1),该页面会弹出警告框。 如果你需要用 a 标签打开一个标签页时,你会使用 target=’_blank’ 这个属性,此时你需要添加 rel=‘no
让a标签禁止点击的方法
热门推荐
SuperCookies的博客
10-24 5万+
让a标签禁止点击的两个方法
html中<a>标签_top和_parent的区别
A458545418的博客
05-07 1186
在html中,<a>标签有个target属性,而targe属性有四个值,分别是:_blank、_self、_top、_parent。前两个相信很好理解,第一个就是在新窗口中打开的意思,第二个时候默认的,就是在当前窗口打开,那下面来说下后两者的区别。 _top就是打开的页面占据了整个页面,_parent就是打开的页面只是在父页面中打开,现在可能有点不太好理解,...
a 标签 打开新窗体 target="_blank" 失效 解决办法
蜗牛水里爬
06-02 1万+
<br />问题在 a 标签中 已加入 target="_blank"  <br />而网页打开 只在一个新窗口中打开<br />始终都在改新窗口中刷新内容<br />用户如果失去该窗口的焦点 <br />在原窗口中点击 a 标签 用户 看不到 新打开的窗体 <br />实际已在失去焦点的窗体中 刷新了内容<br />会给用户造成错觉  这就是为什么现在大家浏览有些网站 会发现这个问题<br /> <br />解决方案一、<br />1、在 head 标签 加入<base target="_blank" /
关于html的a标签的target="__blank "的安全漏洞问题
weixin_33795806的博客
09-26 674
使用场景:最近项目中使用一个a标签的 target="__blank "链接跳转 页面,打开一个新的 pdf文件(或者外部的一个网页),然后在chrome浏览器中快速的滑动的时候,页面偶尔会出现空白现象,这可能是一个浏览器的漏洞,如何解决这个问题,需要对a标记需要target="__blank "的链接中,我们加上rel="nofollow noopener noreferrer" 这个就可以解决...
HTML <a>的target=_blank失效的问题
抱蜥蜴的猪
03-17 4286
<a href="05.列表.html" taget="_blank">超链接</a> 如上所示,<a>标签的target属性设置为_blank,在点击超链接后仍在原页面跳转,而不是新建一个页面然后跳转。 问题原因:不详。 解决办法: 在<head>中加上<base target="_blank"> <head>...
iframe嵌套页面禁用a标签_blank_target =“_ blank”背后的隐藏漏洞
weixin_36049047的博客
11-29 1812
通常,在网页中使用链接时,如果希望浏览器在新选项卡中打开指定的 URL,就会在 a 标记上添加属性 target = “_blank”。但也恰恰是这个属性为网络钓鱼攻击者提供了可趁之机。基础知识parent 和 opener在谈论 opener 之前,让我们首先看一下我们知道,用于父子页面交互的对象通常是在opener 与 parent 一样,但它只用于通过在新标签页中打开页面。你可以直接使用 w...
<?php $link=mysqli_connect("localhost","user","123456","database","3307"); if(!empty($_POST["tijiao"])) { //$sql="delete from xxnews where ID=".$_GET["dID"]; //$rs=mysqli_query($link,$sql); $title=$_POST["title"]; $author=$_POST["author"]; $newsDate=$_POST["newsDate"]; $source=$_POST["source"]; $content=$_POST["content"]; $sql="update from xxnews where ID=".$_POST["uID"]; $rs=mysqli_query($link,$sql); //$link=mysqli_connect("localhost","user","123456","database","3307"); // $sql="update xxnews set title='".$title."',author='".$author."',newsDate='".$newsDate."',source='".$source."',content='".$content."' where ID=".$_GET["uID"]; // $rs=mysqli_query($link,$sql); } ?> <div class="head1"> XX新闻中心 </div> <?php $link=mysqli_connect("localhost","user","123456","database","3307"); $sql="SELECT * FROM xxnews WHERE ID = ".$_POST["ID"]; $rs=mysqli_query($link,$sql); while($rows=mysqli_fetch_array($rs)) { echo "<form action='update.php?uID=".$rows["ID"]."' method='post' target='_blank'>"; echo "<div class='head2'>"; echo "标题:<input type='text' name='title' value='".$rows["title"]."' />"; echo "</div>"; echo "<div class='head3'>"; echo "作者:<input type='text' name='author' value='".$rows["author"]."' />       "; echo "时间:"; date_default_timezone_set('PRC'); echo "<input type='text' name='newsDate' value='".date('Y-m-d', time())."' />"; echo "        来源:<input type='text' name='source' value='".$rows["source"]."' />       <input type='submit' name='tijiao' value='修改新闻' class='tijiao' />"; echo "</div>"; echo "<div class='content'>"; echo "<textarea class='content1' name='content'>"; echo $rows["content"]; echo "</textarea>"; echo "</div>"; echo "</form>"; } ?> <div class="footer"> XX新闻<br /> 地址:广东省肇庆市端州区广东工商职业技术大学星湖校区<br /> 电话:123456789 </div>这段代码有什么问题
06-12
在将用户输入的数据插入数据库之前,应该对其进行转义,以防止SQL注入攻击。可以使用 `mysqli_real_escape_string()` 函数来转义数据。 5. 在更新数据时,没有检查SQL语句是否执行成功。应该使用`mysqli_affected_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值