Window.open() 和 target= blank 有个安全漏洞-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Window.open() 和 target= blank 有个安全漏洞

Window.open() 和 target= blank 有个安全漏洞

小墨安全管家 2021-10-30 22:47 CC防护 89 ℃
DDoS防御

    open securely in a new tab 

在Javascript中,一定要重置 opener 属性:

为了防止这种事情,我们能够:

例如,防DDoS,能够使用 window.opener.location 将初始页面的用户指向一具假的钓鱼网站,该网站摹仿原始网站的外观并做各种恶心的情况。鉴于用户信任基本打开的页面,这大概是很有效的。

后续:如今看来,CC防御,noreferrer 是多余的,DDoS高防DDoS防御,于是noopener` 关于HTML的使用应该是脚够的。

<a href="someLink.com" target="_blank" rel="noopener noreferrer"

 

我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。

// in javascript 

</a> 

在 HTML 中使用 rel="noopener 和 target="_blank"。

// in html 

window.open(""

<a href="" target="_blank">open google</a> 

newWindow.opener = null

const newWindow = window.open("someLink.com"); 

然而,当新打开的页面指向一具我们不懂的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面经过 window.opener对象获得了对链接页面的一些部分访咨询权限。

Window.open() 和 target= blank 有个安全漏洞


DDoS防御

当前位置:主页 > CC防护 > Window.open() 和 target= blank 有个安全漏洞

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119