target="-blank"安全漏洞

最新推荐文章于 2025-02-12 08:50:41 发布
最新推荐文章于 2025-02-12 08:50:41 发布
阅读量402 收藏
点赞数
分类专栏: HTML5 文章标签: 安全漏洞
本文通过实例展示使用HTML中a标签的target属性设置为_blank时存在的安全隐患。若未正确配置rel属性,新打开的页面可能操纵原页面,造成安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

偶然看到以前经常在web端使用的语句居然是有问题滴,转载学习一下。

通过使用<a href="" target="_blank"></a>具有安全问题

打开的页面可以通过句柄获取原始页面,操控原始页面。

eg:

起始界面index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>a-target test</title>
</head>
<body>
    <h1><a href="index2.html" target="_blank"> 不安全打开index2</a></h1>
    <h1><a href="index2.html" rel="noreferrer" target="_blank">安全打开index2</a></h1>
</body>
</html>

打开页面index2.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>index2.html</title>
</head>
<body>
    <h1>这个是你打开的页面,看看你原来的页面怎么样子了</h1>
<script>
   setTimeout(function(){
       if (window.opener) {
           window.opener.location = "https://www.baidu.com";
       }
   }, 500);
</script>
</body>
</html>

通过比较上面打开的方式,可得知target="-black" 打开页面的问题。
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 325
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
理解`target=“_blank“ 属性的使用`
hongfu951的专栏
07-27 4847
自从我了解到超文本链接的target="_blank"后,我逐渐明白了它在构建可访问性和用户便利性方面的作用。其主要目的是在新标签页中打开链接,这对于保持用户对原始页面的参与度可能是有益的。然而,我了解到它并非在所有情况下都适用,并且存在重大的安全考虑因素。让我们更深入地探讨何时使用target="_blank",以及它的缺点。
前端安全之target="_blank"
LXY224的博客
02-18 7827
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
关于a标签【target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 624
关于a标签【target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
target=’_blank安全漏洞
qq_21121571的博客
09-21 693
如果你在页面上的超链接a标记上添加了target=”_blank”属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。if (window.opener) { window.opener.location = “https://www.webhek.com“; } 通常我们知道使用 window....
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 249
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
为什么使用target="_blank" 属性时会出现安全漏洞
06-08
使用 `target="_blank"` 属性时可能会出现安全漏洞,原因是当用户点击链接时,浏览器会打开一个新的窗口或标签页,并且这个新的窗口或标签页可以通过 JavaScript 访问原始页面的对象,这就可能导致跨站脚本攻击(XSS...
解读代码<html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script> <html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script>
最新发布
03-24
还有jQuery和Swiper库的版本,比如jQuery 1.12.4比较旧了,可能有安全漏洞。public.js可能是一些公共函数。 然后用户的问题可能是想了解这段代码的问题或者结构,但代码明显存在重复和错误,比如重复的html和head...
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用...
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5887
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 2543
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
如何安全地处理带有 target=“_blank“ 的第三方链接
记录学习的过程
02-12 441
然而,这种做法可能会带来安全隐患。为了确保用户的安全,建议在设置 target=“_blank” 的同时,添加 rel=“noopener noreferrer” 属性。防止钓鱼攻击:如果不添加 rel=“noopener noreferrer”,新打开的页面可以通过 window.opener 访问原始页面的 window 对象,这可能导致安全风险,比如钓鱼攻击。在开发网页时,务必注意第三方链接的安全性。通过这种方式,你可以确保用户在点击链接时,既能享受到新标签页打开的便利,又能避免潜在的安全风险。
window.open()和target= blank存在安全漏洞
粉丝们务必加入微信粉丝群
10-21 3168
作者:Daniel 译者:前端小智 来源:js-craft 我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中.
html中target四种选择target=_blanktarget=_parent、target=_self、target=_top的区别与对比?
hmz856的博客
06-13 1万+
将链接的文件载入含有该链接框架的父框架集或父窗口中。如果含有该链接的框架不是嵌套的,则在浏览器全屏窗口中载入链接的文件,就象_self参数一样。属性作用使得文档载入父窗口或者包含来超链接引用的框架的框架集。在当前的整个浏览器窗口中打开所链接的文档,因而会删除所有框架,不写的话就是表示默认值,默认值一般跟浏览器有关。表示:将框架中链接的画面内容,显示在没有框架的视窗中(即除去了框架)。表示:将链接的画面内容,显示在目前的视窗中。表示:将链接的画面内容,在新的浏览视窗中打开。表示在新窗口中打开该链接。
selenium IDE学习中遇到的问题: Link has target '_blank', which is not supported in Selenium!
weixin_33785972的博客
03-09 344
由于target="_blank",点击链接,会打开一个新的窗体,回放时会出现如下错误提示,且测试失败 [warn] Link has target '_blank', which is not supported in Selenium! Randomizing target to be: selenium_blank3886 解决方法如下: 1、设置火狐浏览器: 选项->内容-&...
新窗口打开链接target = “_blank“和js打开新窗口的方法
彭世瑜的博客
05-03 4029
设置整个页面所有a标签的打开方式 <base target = "_blank"> 设置单个a标签的打开方式 <a href = "url" target = "_blank">点击打开新标签</a>
Selenium IDE录制测试弹出窗口
jack0511的专栏
11-03 1万+
[warn] Link has target '_blank', which is not supported in Selenium! Randomizing target to be: selenium_blank*
a标签target=”_blank”的安全问题及解决办法
热门推荐
chinashanzhang的博客
03-13 2万+
一、定义 A 标签的 target 属性规定在何处打开链接文档。如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后将新的文档载入那个窗口。从此以后,超链接文档就可以指向这个新的窗口。target...
使用target="_blank"的注意事项
JudyC的博客
03-12 7208
为了安全性考虑,target="_blank"较好的用法如下:&lt;a href="https://www.baidu.com" target="_blank" rel="noopener noreferrer nofollow"&gt;巴拉巴拉&lt;/a&gt;解释:由于在跨域的情况下,opener 可以调用 location.replace 方法引导用户进入恶意网站,加入noopener之
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值