Window.open() 和 target= blank 有個安全漏洞
作者:前端小智
我們經常使用 HTML target="_blank" 或 window.open() 在新窗口中打開頁面。但是,當新打開的頁面指向一個我們不知道的網站時,我們就會被暴露在釣魚網站的漏洞中
我們經常使用 HTML target="_blank" 或 window.open() 在新窗口中打開頁面。
- // in html
- <a href="www.google.com" target="_blank">open google</a>
- // in javascript
- window.open("www.google.com")
但是,當新打開的頁面指向一個我們不知道的網站時,我們就會被暴露在釣魚網站的漏洞中。新頁面通過 window.opener對象獲得了對鏈接頁面的一些部分訪問權限。
例如,可以使用 window.opener.location 將初始頁面的用戶指向一個假的釣魚網站,該網站模仿原始網站的外觀并做各種惡心的事情。鑒于用戶信任已經打開的頁面,這可能是非常有效的。
為了防止這種情況,我們可以:
在 HTML 中使用 rel="noopener 和 target="_blank"。
- <a href="someLink.com" target="_blank" rel="noopener noreferrer">
- open securely in a new tab
- </a>
在Javascript中,一定要重置 opener 屬性:
- const newWindow = window.open("someLink.com");
- newWindow.opener = null;
后續:現在看來,noreferrer 是多余的,所以noopener` 對于HTML的使用應該是足夠的。
作者:Daniel 譯者:前端小智
來源:js-craft 原文:http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/
責任編輯:姜華
來源:
大遷世界
