target="_blank" 安全漏洞

最新推荐文章于 2025-02-12 08:50:41 发布
最新推荐文章于 2025-02-12 08:50:41 发布
阅读量1.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: target="_blank"
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lishuai_it_trip/article/details/89554032
在HTML中使用target='_blank'打开新窗口存在安全风险,恶意网页可通过window.opener访问并操控原窗口。本文解析此漏洞原理,演示如何利用及防范,推荐使用rel='noopener'增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工作中,经常在<a>标签中添加target="_blank",用来在新窗口打开页面,尤其是打开外链应用率几乎是100%。可是最近看到这竟然有一个巨大的安全隐患:

比如在index.html中跳转到index2.html

<a href="index2.html" target="_blank">link</a>

在index2.html中添加一段js代码

<script type="text/javascript">
	window.opener.location.href ="http://www.baidu.com"
</script>

此时会发现,index.html已经跳转的百度了。原因是:当站点在链接中使用target="_blank"来打开新标签页或窗口时,该站点就通过window.opener API给了新页面对原有窗口的访问入口,并授予了一些权限。这其中的一些权限被跨域限制拦截了,但是window.location是漏网之鱼。如果,上述链接是钓鱼网站,那就非常可怕了!

这个问题的解决方法就是:在使用target="_blank"时,加上rel="noopener",此时window.opener 已经被置为了 null。

有资料说:rel="noopener"不支持火狐浏览器,需要加上rel="norefferrer",可是我测试是支持的。又有说法是rel="norefferrer"是为了支持旧的浏览器,但我用的IE8,不论是rel="noopener"还是rel="norefferrer"都没有效果,这让我好尴尬……还有,我测试的:不论是谷歌浏览器还是火狐浏览器,既支持rel="noopener"也支持rel="norefferrer"。(低版本浏览器应该是指谷歌低版本,这个安全漏洞在IE浏览器该如何解决呢?)

在使用window.open()也会出现同样的安全漏洞,此需要用js将opener置为null。

var newOpen = window.open();
newOpen.opener = null;
newOpen.location = "http://www.baidu.com";

 

使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 322
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
理解`target=“_blank“ 属性的使用`
hongfu951的专栏
07-27 4616
自从我了解到超文本链接的target="_blank"后,我逐渐明白了它在构建可访问性和用户便利性方面的作用。其主要目的是在新标签页中打开链接,这对于保持用户对原始页面的参与度可能是有益的。然而,我了解到它并非在所有情况下都适用,并且存在重大的安全考虑因素。让我们更深入地探讨何时使用target="_blank",以及它的缺点。
<a>标签target=“_blank“ 焦点窃取漏洞
mirocky的博客
12-21 644
1、标签中使用target="_blank"时,代表打开一个新的页面,此时新开的页面与旧页面存在从属关系,新页面可以使用window.opener操作旧页面,造成漏洞;2、目前高级浏览器已修复该漏洞,以下实现均在IE模式下;
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 248
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
关于a标签target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 623
关于a标签target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 2978
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
危险的 target=“_blank” 与 “opener”
码飞_CC的博客
07-09 904
在学习安全研发规范的时候,发现一条规则“通过 A 标签跳转到其他页面且使用 target=_blank 时,必须添加 rel=noopener 属性”,这个以前还真没了解到,遂查询了一下,发现一片文章写得挺不错的,这里就不自己写,转载一下了(危险的 target="_blank" 与 “opener”) 以下来自转载: 在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 a 标签上添加 target等于"_blank" 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 2540
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
前端安全之target="_blank"
LXY224的博客
02-18 7813
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
为什么使用target="_blank" 属性时会出现安全漏洞
06-08
使用 `target="_blank"` 属性时可能会出现安全漏洞,原因是当用户点击链接时,浏览器会打开一个新的窗口或标签页,并且这个新的窗口或标签页可以通过 JavaScript 访问原始页面的对象,这就可能导致跨站脚本攻击(XSS...
网页打开新窗口target=_blank不符合标准
10-30
我们要在新窗口中打开链接通常的做法是在链接后面加target="_blank",我们采用过渡型的DOCTYPE(xh tml1-transitional. dtd)时没有问题,但是当我们使用严格的DOCTYPE(xhtml1-strict.dtd)时,这个方法将通不过W3C的校验,会出现如下错误提示:
解读代码<html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script> <html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script>
最新发布
03-24
还有jQuery和Swiper库的版本,比如jQuery 1.12.4比较旧了,可能有安全漏洞。public.js可能是一些公共函数。 然后用户的问题可能是想了解这段代码的问题或者结构,但代码明显存在重复和错误,比如重复的html和head...
CVE-2024-40116 CVE-2024-34783等——Cicso多个安全漏洞_2024年cve漏洞
2301_77121488的博客
04-26 523
9.10 < 9.10.1.42 9.12 < 9.12.3.12 9.13 < 9.13.1.10 9.14 < 9.14.1.10 6.2.2 6.2.3 < 6.2.3.16 6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1 6.4.0 < 6.4.0.9 + Hot Fix 6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020) 6.6.0 < 6.6.0.1 “webVpn” h
a标签属性target =“_ blank“是否需要加下划线?
Xyt1737的博客
01-13 2245
target="blank"在功能上看上去和target="_blank"一样,都是跳转到一个新页面。当我们使用第一个写法(不加_),连续多次点击a标签后,我们会发现总是跳转到第一次打开的新页面,即同一个页面,个人猜测这可能是浏览器对其进行了处理,但由于不是关键词'_blank',所以默认为新页面的名称?补充:那为什么target="blank"这个错误写法依然能跳转一个新页面呢?第二个写法(加_),多次点击会新增多个新页面,这才是我们需要的功能!
关于网页外链用了 target="_blank"的安全隐患
qq_37730779的博客
05-08 646
安全隐患 如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。虽然跨域的页面对于这个对象的属性访问有所限制,但还是有漏网之鱼。 这是某网页打开新窗口的页面控制台输出结果。可以看到window.opener的一些属性,某些属性的访问被拦截,是因为跨域安全策略的限制。 即便如此,还是给一些操作留下可乘之机。...
前端 防止使用 target="_blank" 的恶意攻击
weixin_33809981的博客
04-11 604
危险的 target=”_blank” 当一个跳转链接 这么写的时候 &lt;a href="./target.html" target="_blank"&gt;target _blank&lt;/a&gt; 在新打开的界面,将会暴露一个 opener对象,简单的理解。这个对象就是父窗口的 windows对象,可以直接使用父窗口的方法, 比如通过window.opener.location = n...
如何安全地处理带有 target=“_blank“ 的第三方链接
记录学习的过程
02-12 398
然而,这种做法可能会带来安全隐患。为了确保用户的安全,建议在设置 target=“_blank” 的同时,添加 rel=“noopener noreferrer” 属性。防止钓鱼攻击:如果不添加 rel=“noopener noreferrer”,新打开的页面可以通过 window.opener 访问原始页面的 window 对象,这可能导致安全风险,比如钓鱼攻击。在开发网页时,务必注意第三方链接的安全性。通过这种方式,你可以确保用户在点击链接时,既能享受到新标签页打开的便利,又能避免潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值