本文探讨了HTML中<a>标签可能导致的安全问题,当新旧页面在同一域名下时,新页面可以控制旧页面,包括修改其URL。解决办法是设置target属性为"_blank",以隔离页面间的交互,确保用户安全。
1、问题描述
<a href="https://learn-anything.cn" target="_blank"/>
# 上面的写法,会出现下面的警告信息:
warning Using target="_blank" without rel="noreferrer" is a security risk: see
https://html.spec.whatwg.org/multipage/links.html#link-type-noopener react/jsx-no-target-blank
2、解决方案
# 增加属性:rel="noreferrer"
<a href="https://learn-anything.cn" target="_blank" rel="noreferrer"/>
3、安全问题说明
使用 target="_blank" 打开新标签页时,新页面的 window.opener 对象指向前一个页面,也就可以控制前一个页面。
- 当新旧页面在同一个域名下时,在新页面控制台输入
window.opener.alert(1),会发现旧页面弹出消息1。 - 当新旧页面不在同一个域名时,通过
window.opener.location.replace可以改变旧页面的url。 rel="noreferrer"属性是把window.opener对象设置为null,以防后患。
4、相关链接
- html中标签的安全问!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
