本文探讨了在网站中使用target=_blank属性打开新标签页的安全隐患,并提出了通过添加rel=‘noopener’或rel=‘noopener noreferrer’属性来增强安全性的解决方案。此外,还介绍了如何通过JavaScript进一步加强安全性。
链接地址中的target=”_blank”属性安全性处理
http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651061858&idx=4&sn=47e725482bc573d35737dc5632c9412d&scene=1&srcid=0905Fjz6eqVu6T41KVzQJ9rG#rd
如何修复这个问题呢?
这也就意味着,修复该问题的重担将落在网站管理员的身上了。实际上,修复该问题最简单的方法就是在网站所有的链接中加入rel=”noopener”属性。
对于火狐浏览器而言,由于它并不完全支持该属性,所以开发人员应该使用rel=”noopenernoreferrer”属性作为代替。
请记住,当你每次使用window.open()接口来打开一个新的网页窗口时,你的安全性很有可能会受到这一API的影响,所以别忘了重置“opener”属性。
var newWnd = window.open();
newWnd.opener = null;
我个人认为Twitter解决这一问题的方法应该是最有效的。Twitter的开发人员使用了一个脚本来自动向网站中的链接添加该属性。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
