target=‘_blank‘ 安全漏洞 & window.open()

最新推荐文章于 2023-12-01 17:43:30 发布
最新推荐文章于 2023-12-01 17:43:30 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Javascript&jQuery 文章标签: html 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44764873/article/details/108210084
版权

target=’_blank’ 安全漏洞:https://www.jianshu.com/p/ce1fbf9470b7

https://blog.csdn.net/lishuai_it_trip/article/details/89554032

聊聊a标签的rel属性

浅谈rel=external nofollow和rel=noopener noreferrer

a标签 rel属性

window.open()打开页面的几种方法

jq / js 动态添加页面跳转

<!--<li>
   <div class="server_class server_class_img0">          	
      <span class="pingtai">平台客服</span>
      <div class="beizhu">平台使用疑问或系统异常咨询</div>
      <span class="openlist openlist0 bg_img3"></span>
   </div>
   <div class="group-workers kefu-business0" style="display: none;">
	   <a href="http://q.url.cn/abhbWo?_type=wpa&qidian=true" target="_blank" rel="noopener noreferrer">点击咨询</a>
   </div>
</li>-->


				
<li>
    <div class="server_class server_class_img0">			           	
         <span class="pingtai">荣药客服</span>
         <div class="beizhu">平台使用疑问或系统异常咨询</div>			                
    </div>			            
</li>
$(document).on('click','.pingtai',function(e){
	var win = window.open('_blank');	
	win.opener=null;
	win.location='http://q.url.cn/abhbWo?_type=wpa&qidian=true';				 					
});

window.open打开新窗口被浏览器拦截的处理方法

Lo、
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2369
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
危险的 target=“_blank” 与 “opener”
码飞_CC的博客
07-09 704
在学习安全研发规范的时候,发现一条规则“通过 A 标签跳转到其他页面且使用 target=_blank 时,必须添加 rel=noopener 属性”,这个以前还真没了解到,遂查询了一下,发现一片文章写得挺不错的,这里就不自己写,转载一下了(危险的 target="_blank" 与 “opener”) 以下来自转载: 在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 a 标签上添加 target等于"_blank" 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5389
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
window.open()方法被浏览器拦截不能实现自动跳转的解决办法
Devil_Mr的博客
07-19 1528
最近在写一个扫描二维码后判断设备类型进行跳转不同设备类型适配的页面时用到window.open方法,但是总是会被浏览器拦截。网上找了很多方法,包括延迟调用,ajax的异步同步调用,都不见效。后面尝试出一个可以跳转不被拦截的方法,记录一下。
Web安全终弹:两个“特别的”安全策略
flying meng的菜鸟居
06-08 3950
前面,笔者写了两篇关于web安全的文章,里面对两种安全策略进行分析的同时还简介了其余的安全策略: [Web安全:细说前端XSS攻击与防范]、 [Web安全:细说后端密码安全防范]; 最近笔者又碰上了两个新的web安全策略:同源策略和window.opener外链安全,想就此和各位分享一下...
前端常见网络攻防问题
abuanden的博客
03-25 766
前端常见安全问题的十个方面: iframe opener CSRF(跨站请求伪造) XSS(跨站脚本攻击) ClickJacking(点击劫持) HSTS(HTTP严格传输安全) CND劫持 HTTPS中间人攻击 SQL注入 Dos服务拒绝攻击 一、iframe 1. 如何让自己的网站不被其他网站的 iframe 引用? // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.
Vue配置marked链接添加target="_blank"的方法
10-16
window.open(href, '_blank'); ``` 总的来说,Vue中配置marked链接添加`target="_blank"`的方法主要是通过自定义渲染器来实现的。同时,记得配置marked的其他选项以满足项目的特定需求。这样,Markdown中的链接将在...
js中window.open的参数及注意注意事项
11-24
在现代Web开发中,由于弹出窗口可能被视为侵入性的,通常会避免使用`window.open()`,而是倾向于利用`<a>`标签的`target`属性或使用模态对话框(如Bootstrap的模态插件)来实现类似效果。然而,在某些特定场景,例如...
window.open()实现post传递参数
09-03
通常,`window.open()` 的使用方式是 `window.open(url, target, features)`,其中 `url` 是要打开的页面的地址,`target` 指定打开的位置(如 `_blank` 表示新窗口),`features` 是窗口特征的字符串,如宽度、高度...
window.open以post方式将内容提交到新窗口
09-05
window.open('about:blank', name, 'height=400, width=400, top=0, left=0, toolbar=yes, menubar=yes, scrollbars=yes, resizable=yes,location=yes, status=yes'); } ``` ### 方法二: 这种方法是在新打开的...
Window.Open如何在同一个标签页打开
09-04
在网页开发中,`window.open()` 是一个非常重要的 JavaScript API,它用于在浏览器中打开新的窗口或标签页。然而,有时候我们可能希望在一个已经存在的标签页中打开一个新的URL,而不是每次都创建新的窗口。本篇文章...
a标签、window.open跳转不同源页面
最新发布
qq_44441669的博客
12-01 1174
访问原页面window对象/document对象,进行js操作(钓鱼攻击)。这是一个安全的漏洞,所以在设置。window.open()跳转其他的系统,跨站(不同源页面),跳转失败。时,点击链接将打开新tab页,新页面可以通过。当window.open设置跳转方式为。访问原页面,从而防止了钓鱼攻击。这样新页面就无法通过。
window.open()跳转新页面访问不了,但是单独访问这些地址则正常
m0_60370017的博客
02-22 3089
window.open()跳转到其他网站时,有些网站可以正常访问,有些则访问不了,出现HTTP ERROR 403报错问题,但是单独去访问这些地址又是可以正常访问的。
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6448
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
url跳转http不携带referer方法
西凉的悲伤博客
12-24 6607
url跳转不http请求头携带referer解决方法,http删除referer
window.open()的完整参数列表 与 跨站脚本执行漏洞
zhcool(碳元素)的专栏
10-18 4267
经常上网的朋友可能会到过这样一些网站,一进入首页立刻会弹出一个窗口, 或者按一个连接或按钮弹出,通常在这个窗口里会显示一些注意事项、版权信息、警告、欢迎光顾之类的话或者作者想要特别提示的信息。其实制作这样的页面效果非常的容易,只要往该页面的HTML里加入几段javascript代码即可实现。下面俺就带您剖析它的奥秘。 【1、最基本的弹出窗口代码】 其实代码非常简单: window.ope
应用网站重定向漏洞
Ben的专栏
11-27 170
dest=www.wilyhacker.com”的链接,则用户可能会点击该链接,相信他们会 被转移到受信任的站点。通过对 URL 进行编码,攻击者可以使最终用户难以注意到重定向的恶意目的地,即使它作为 URL 参数传递到受信任的站点也是如此。通过这种方法,用户提供的输入永远不会直接用于指定重定向的 URL。在这种情况下,使用类似的方法来限制用户可以重定向到的域,这至少可以防止攻击者将用户发送到恶意外部站点。许多用户都被教育要经常检查他们在电子邮件中收到的 URL,以确保该链接指定的是他们知道的可信站点。
xss学习
weixin_63231007的博客
04-29 2302
反射性xss 传入<script>alert("xss")</script>,会弹出一个xss弹框。 这个弹框是无害的,但如果做的是别的事情,就有害了。 存储型xss 输入留言name:1111 Message : <script>alert("xss")</script> 之后这个网站就被挂了一个非常简单的🐎,之后任何人访问这个网站,都会执行这个xss脚本 这个链接被发送给其他人之后,他们一点击,就会执行这个脚本。被人引诱点击之后就..
router.push怎么添加target="_blank"
09-13
要在使用 `router.push` 时添加 `target="_blank"`,你可以使用 `router.resolve` 方法来解析目标路由,并将选项对象中的 `target` 属性设置为 `'_blank'`。然后,你可以使用 `window.open` 方法打开新的窗口或标签页。 以下是一个示例代码: ```javascript const router = require('vue-router').default // ... // 在某个处理事件中添加以下代码 const resolvedRoute = router.resolve({ path: '/your-target-route', query: { /* 可选的查询参数 */ }, params: { /* 可选的路由参数 */ } }) window.open(resolvedRoute.href, '_blank') ``` 在上面的示例中,我们首先使用 `router.resolve` 解析目标路由,然后使用 `resolvedRoute.href` 获取目标路由的完整 URL。最后,我们将该 URL 作为第一个参数传递给 `window.open`,并将第二个参数设置为 `'_blank'`,以在新的窗口或标签页中打开该 URL。 请注意,以上示例中的 `/your-target-route` 是你要导航到的目标路由路径。你需要将其替换为实际的目标路由路径。 希望这可以帮到你!如果有任何疑问,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值