日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Window.open() 和 target= blank 有個(gè)安全漏洞

我們經(jīng)常使用 HTML target="_blank" 或 window.open() 在新窗口中打開頁面。

創(chuàng)新互聯(lián)公司專注于網(wǎng)站建設(shè)|成都網(wǎng)站維護(hù)公司|優(yōu)化|托管以及網(wǎng)絡(luò)推廣,積累了大量的網(wǎng)站設(shè)計(jì)與制作經(jīng)驗(yàn),為許多企業(yè)提供了網(wǎng)站定制設(shè)計(jì)服務(wù),案例作品覆蓋水泥攪拌車等行業(yè)。能根據(jù)企業(yè)所處的行業(yè)與銷售的產(chǎn)品,結(jié)合品牌形象的塑造,量身策劃品質(zhì)網(wǎng)站。

 
 
 
      
  
  
  1. // in html 
    2.   
  
  
  2. open google 
    3.   
  
  
  3.  
    4.   
  
  
  4. // in javascript 
    5.   
  
  
  5. window.open("www.google.com") 
    6.

但是,當(dāng)新打開的頁面指向一個(gè)我們不知道的網(wǎng)站時(shí),我們就會被暴露在釣魚網(wǎng)站的漏洞中。新頁面通過 window.opener對象獲得了對鏈接頁面的一些部分訪問權(quán)限。

例如,可以使用 window.opener.location 將初始頁面的用戶指向一個(gè)假的釣魚網(wǎng)站,該網(wǎng)站模仿原始網(wǎng)站的外觀并做各種惡心的事情。鑒于用戶信任已經(jīng)打開的頁面,這可能是非常有效的。

為了防止這種情況,我們可以:

在 HTML 中使用 rel="noopener 和 target="_blank"。

 
 
 
      
  
  
  1.  
    2.   
  
  
  2.     open securely in a new tab 
    3.   
  
  
  3.  
    4.

在Javascript中,一定要重置 opener 屬性:

 
 
 
      
  
  
  1. const newWindow = window.open("someLink.com"); 
    2.   
  
  
  2. newWindow.opener = null; 
    3.

后續(xù):現(xiàn)在看來,noreferrer 是多余的,所以noopener` 對于HTML的使用應(yīng)該是足夠的。

作者:Daniel 譯者:前端小智

來源:js-craft 原文:http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/


網(wǎng)站名稱:Window.open() 和 target= blank 有個(gè)安全漏洞
網(wǎng)頁地址:http://m.5511xx.com/article/cddhodp.html