黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 16:39:00

Window.open() 和 target= blank 有个安全漏洞

我们经常使用 HTML target="_blank" 或 window.open() 在新窗口打开页面。

  • //inhtml
  • <ahref="www.google.com"target="_blank">opengoogle</a>
  • //injavascript
  • window.open("www.google.com")

    • 然而,当新打开的页面指向一个我们不知道的网站时,我们将暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了部分访问链接页面的权限。

    例如,可以使用 window.opener.location 将初始页面的用户指向一个虚假的钓鱼网站,模仿原始网站的外观,做各种恶心的事情。这可能对用户信任已经打开的页面非常有效。

    为了防止这种情况,我们可以:

    在 HTML 中使用 rel="noopener 和 target="_blank"。

  • <ahref="someLink.com"target="_blank"rel="noopenernoreferrer">
  • opensecurelyinanewtab
  • </a>

    • 在Javascript一定要重置 opener 属性:

  • constnewWindow=window.open("someLink.com");
  • newWindow.opener=null;

    • 后续:现在看来,noreferrer 是多余的,所以noopener` 对于HTML使用应该足够。

    作者:Daniel 译者:前端小智

    来源:js-craft 原文:http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/

       

    标签:HTML Window.open 安全漏洞 

    作者:访客 , 分类:网络钓鱼 , 浏览:519 , 评论:5

    • 评论列表:
    •  冬马袖间
       发布于 2022-06-16 15:18:25  回复该评论
    • ");newWindow.opener=null;后续:现在看来,noreferrer 是多余的,所以noopener` 对于HTML使用应该足够。作者:Daniel 译者:前端小智来源
    •  闹旅昭浅
       发布于 2022-06-16 19:52:38  回复该评论
    • noopener 和 target="_blank"。<ahref="someLink.com"target="_blank"rel="noopenernoreferrer">opensecurelyinanewtab</a&
    •  礼忱世味
       发布于 2022-06-16 15:19:55  回复该评论
    • o/blog/window-open-and-target_blank-have-a-security-vulnerability/    
    •  听弧夙世
       发布于 2022-06-17 01:41:16  回复该评论
    • .location 将初始页面的用户指向一个虚假的钓鱼网站,模仿原始网站的外观,做各种恶心的事情。这可能对用户信任已经打开的页面非常有效。为了防止这种情况,我们可以:在 HTML 中使用 rel="noopener 和 target="_blank"。<ah
    •  笙沉桔烟
       发布于 2022-06-17 01:11:56  回复该评论
    • lank"。<ahref="someLink.com"target="_blank"rel="noopenernoreferrer">opensecurelyinanewtab</a>在Javascript一定要重置 opener 属

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.