社区编辑申请
注册/登录
Window.open() 和 target= blank 有个安全漏洞
安全 应用安全
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中

我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。

  1. // in html 
  2. <a href="www.google.com" target="_blank">open google</a> 
  3.  
  4. // in javascript 
  5. window.open("www.google.com"

但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。

例如,可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站,该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面,这可能是非常有效的。

为了防止这种情况,我们可以:

在 HTML 中使用 rel="noopener 和 target="_blank"。

  1. <a href="someLink.com" target="_blank" rel="noopener noreferrer"
  2.     open securely in a new tab 
  3. </a> 

在Javascript中,一定要重置 opener 属性:

  1. const newWindow = window.open("someLink.com"); 
  2. newWindow.opener = null

后续:现在看来,noreferrer 是多余的,所以noopener` 对于HTML的使用应该是足够的。

作者:Daniel 译者:前端小智

来源:js-craft 原文:http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/

 

责任编辑:姜华 来源: 大迁世界
相关推荐

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-28 14:01:42

MITOpenAI预训练模型

2022-06-16 10:53:22

SUSELinuxopenEuler

2022-06-06 14:29:20

图像模型任务

2022-04-19 12:21:58

开源技术

2022-06-10 09:04:24

Python读取文件代码

2022-05-30 15:08:33

包管理子系统包安装模块

2022-05-05 08:25:22

模型OpenAI代码

2022-02-24 16:15:16

OpenHarmon鸿蒙OpenEuler

2022-05-07 14:08:42

Python自动化脚本

2022-05-17 09:02:30

2022-01-06 14:49:13

2022-02-14 18:55:37

2022-04-12 15:58:52

芯片

2012-09-10 10:15:18

IBMdw

2014-04-08 20:40:01

2020-05-14 11:23:42

5GvRan虚拟化

2014-11-27 15:32:31

openstacknetworkovs

2012-09-06 11:11:45

IBMdw

2021-07-21 17:24:28

同话题下的热门内容

QQ大批账号被盗,网络安全该如何维护?为什么智能建筑IoT网络安全标准很重要?区块链在网络信任体系中的应用研究Web 3.0 对软件行业的影响你安装的 Chrome 扩展的组合可以跟踪你黑客用AI换脸技术应聘 人工智能安全问题不容忽视如何把个人信息“安全堤”筑得更牢供应链的模糊如何为网络攻击者打开大门以及如何关闭

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号