HTML a标签打开新标签页避免出现安全漏洞,请使用“noopener”

已于 2024-01-13 19:10:39 修改
阅读量319 收藏
点赞数
文章标签: java 前端 安全 javascript
于 2023-01-10 22:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57543652/article/details/128629217
版权

新标签页中打开一个网址如何出现安全漏洞

让我们在网站上的新标签页中打开一个网址,HTML如下


<a href="https://malicious-domain.netlify.com" target="_blank">访问恶意网站!
</a>

这里我们有一个指向恶意网站的 href 属性,并以 _blank 属性为 target,使其在新标签页中打开。

该流程看起来如此简单明了,用户在这里可能面临的安全风险是什么?

用户从你的页面重定向到域,此时,浏览器会将你当前网站的所有 window 变量内容附加到恶意网站的 window.opener 变量。现在恶意网站可以访问你网站的 window,这显然在重定向此方法时打开了一个安全漏洞

恶意网站一旦通过 window.opener 访问了你的网站的 window 变量,它可以将你之前的网站重定向到一个新的钓鱼网站,这个网站可能与你打开的实际网站相似,甚至可能会要求你再次登录。

在恶意网站中,只需编写以下代码即可完成上述修改


if (window.opener) {window.opener.location = 'https://www.dhilipkmr.dev';
}

因此,无辜用户将陷入此陷阱,并提供可能暴露给攻击者的登录详细信息。

我们如何避免这种情况?

一种简单的方法是将带有 noopener 的 rel 属性添加到 <a> 标记。


<a href="https://malicious-domain.netlify.com" rel="noopener" target="_blank">访问恶意网站!
</a>

它有什么作用?

rel = "noopener" 表示浏览器不要将当前网站的 window 变量附加到新打开的恶意网站。

这使得恶意网站的 window.opener 的值为 null。

因此,在将用户导航到你未维护的新域时,请当心。

并非总是我们用标签打开一个新标签,在某些情况下,你必须通过执行javascript的 window.open() 来打开它,如下所示:


function openInNewTab() {// 一些代码window.open('https://malicious-domain.netlify.com');
} 

<span class="link" onclick="openInNewTab()">访问恶意网站!</span>

这里没有提及 noopener,因此这导致当前网站的 window 传递到恶意网站。

通过js打开新标签页时,该如何处理?


function openInNewTabWithoutOpener() { var newTab = window.open(); newTab.opener = null; newTab.location='https://malicious-domain.netlify.com';
 } 

<span class="link" onclick="openInNewTabWithoutOpener()">访问恶意网站!</span>

我们已经通过 window.open() 打开了一个虚拟标签,该标签打开了 about:blank,因此这意味着它尚未重定向到恶意网站。

然后,我们将新标签的 opener 值修改为 null。

将我们将新标签的网址修改为恶意网站的网址。

这次,opener 再次为空,因此它无法访问第一个网站的 window 变量。

问题解决了。

但是在旧版本的Safari中将无法使用此方法,因此我们再次遇到问题。

如何解决Safari的问题?


function openInNewTabWithNoopener() {const aTag = document.createElement('a');aTag.rel = 'noopener';aTag.target = "_blank";aTag.href = 'https://malicious-domain.netlify.com';aTag.click();
} 

<span class="link" onclick="openInNewTabWithoutOpener()">访问恶意网站!</span>

在这里,我们模拟点击锚标记。

  • 我们创建 <a> 标记并分配所需的属性,然后在其上执行 click(),其行为与单击链接相同。

  • 不要忘记在此处向标签添加 rel 属性。

其他事实:

  • 当您在锚标记上单击 CMD + LINK 时,Chrome,Firefox和Safari会将恶意网站的 window.opener 视为 null。

  • 但是,在通过JavaScript处理新标签页打开的元素上的 CMD + LINK 上,浏览器将附加窗口变量并将其发送到新标签页。

  • 默认情况下,新版的Safari会在所有情况下删除 window.opener,要将窗口信息传递给新的标签页,你必须明确指定 rel='opener'。

没有人可以绕过你的"保安"。

小饭er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
AngularJS 打开标签实现代码
10-19
本文通过实例代码给大家介绍了angularJS 打开标签方法,代码简单易懂,非常不错,具有参考借鉴价值,需要的朋友参考下吧
a标签是否开一个面的问题各大网站的打开情况整理
09-28
a标签是否开一个面的问题,在本文为大家整理了一些各大网站的新页打开情况,需要的朋友可以参考下
点击a标签时,打开标签
撑起自己半边天
11-17 3902
点击a标签时,打开标签 首先了解a标签的target属性,它有5个值,分别是: _blank:在窗口中打开被链接文档。 _self:默认。在相同的框架中打开被链接文档。 _parent:在父框架集中打开被链接文档。 _top:在整个窗口中打开被链接文档。 framename:在指定的框架中打开被链接文档。 语法格式: < a href=“new.html” target="_bla...
使用a标签打开窗口
Quentin0823的博客
09-01 5456
a标签后面加 target="_self" 是此窗口默认打开 (这个属性是默认的)**
a标签如何打开窗口?
热门推荐
December_shi的博客
09-06 3万+
a标签打开窗口 只需要在a标签后面加 target="_blank" <a href="index.html" target="_blank">跳转到窗口打开</a> 扩展:a标签后面加 target="_self" 是此窗口默认打开 (这个属性是默认的) <a href="index.html" target="_self">此窗口打开</a> ...
前端 a标签 / js 的 跳转面、打开新页
weixin_42307069的博客
01-07 1794
前端 a标签 / js 的跳转面、打开新页
html中a标签的跳转问题
鲍双成的博客
11-20 2万+
一、什么是a标签     a标签html中的基本标签之一,定义超链接,用于从一张面链接到另一张面。可以链接到项目的的文件上,也可以链接到URL网址上,
Infinity 标签
05-28
Infinity 标签——一个...除此之外,您还可以更标签的背景图片,既可以使用您自己的图片,也可以使用自动更换图片。集成了天气,待办事项,笔记等功能,甚至还能显示你的Gmail邮件数量和通知。快来试试吧~~
Bee Hive(标签)-4.0.9.zip
12-27
名称:Bee Hive(标签) ...每次您在浏览器中打开一个标签时,它都会在您眼前栩栩如生,并塑造成的、动态的和真实的东西。BeeHive旨在将您的浏览体验提升到一个全的水平。现在就试试吧,你不会后悔的
Ataraxia 标签-1.7.zip
12-27
名称:Ataraxia 标签 -------------------- 版本:1.7 作者:Dongxing Xin 分类:其他 ...-直接在标签中,使用熟悉的搜索引擎开始搜索 访问官网https://idealland.app/ataraxia/获取更多信息。
html——点击a标签打开标签
专注写bug
12-12 9037
一、简介 最近想实现一个面点击a标签后,打开标签显示二维码的功能。 二、实现方式 在做案例说明之前,说一个技能重点 target 属性。 代号 含义 _Blank 打开标签 _Self 自身窗口 _Parent 产生该面的父级面 _Top 产生该面的祖级面 接下来我们在说实现方式 <a th:text="${productList.prod...
html点击a标签打开标签
shiGXW的博客
04-06 3953
属性:target _Blank 打开标签 _Self 自身窗口 _Parent 产生该面的父级面 _Top 产生该面的祖级面 实现方式 <a href="" target="_blank"></a>
<a>标签如何跳转窗口
m0_75278118的博客
07-17 2364
标签跳转窗口
用a标签实现下载和弹出新页预览pdf
最新发布
SZHFCLXX的博客
01-24 641
下载中href地址中有api即其实质就是调了个接口;而预览中的href地址是纯远程文件所在路径,不会有api的存在!如果出现点击查看弹出了新页却不是预览而是继续下载的情况,多半就是复制的时候加了api忘了去掉,导致又去调了下载的接口,而不是去远程找文件展示!
HTML中<a>标签的target属性
2301_76668733的博客
09-18 2182
3. 设置target属性值为_parent,会在父窗口或者包含超链接引用的框架的框架集中打开链接。我们可以看到原来的Frame B1也被打开的链接覆盖了。4. 设置target属性值为“_top”,会清除所有被包含的框架,并打开链接。2. 设置target属性值为_self,会在相同的框架或者窗口中打开链接。1. 设置target属性值为_blank,可以在一个的窗口中打开链接。总结:除了blank其他三种肉眼看见的效果是一样的。
A标签窗口打开怎么设置
开源世界
05-05 3405
超链接a标签窗口打开怎么设置怎么完成-a锚文本掀开法子设置 a标签是配置超链接锚文本标签,a超链接标签让站点A网打开B网,或让Aweb转到Bweb。那末a标签超链接翻开方法中窗口翻开网如何配置呢? a超链接锚文本打开方式 起首看看a标签最容易最根底组织代码: 开源世界 这样对“CSS5网”笔墨设置装备摆设A锚文本超链接。 假如要让窗口掀开那末还要对a标签使用target属性。 经常运用target属性值解析: target="_blank"——设置窗口浏览器标签中掀开网 target="
Html中所有的a标签点击打开的窗口
小韩的博客
10-11 1万+
但是由于a标签太多,直接在每个a标签里添加行内样式(target=“_blank”)这个不太现实,比较浪费时间。那么能否在CSS里面添加(target=“_blank”)呢?因为css中没有target属性,所以也不可行。问题:一个网有很多a标签,需要点击时让所有a标签打开的窗口,而不是覆盖原本的窗口。其实很简单,在head标签下面加一行代码就可以了。让我来问问ChatGPT,得到如下的答案。
关于HTML中a标签的重大安全性漏洞!!!
Geek-Haoyu
09-05 1456
标签是很有可能造成安全性问题的不要忽视!!
html的a标签标签打开
05-22
要在HTML使用`<a>`标签打开一个标签,可以在`<a>`标签中添加`target="_blank"`属性。例如: ``` <a href="https://www.example.com" target="_blank">Example Website</a> ``` 这将在的浏览器标签打开链接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小饭er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值