target="-blank"安全漏洞

最新推荐文章于 2025-02-12 08:50:41 发布
转载 最新推荐文章于 2025-02-12 08:50:41 发布 · 402 阅读 · 0
文章标签:

#安全漏洞

本文通过实例展示使用HTML中a标签的target属性设置为_blank时存在的安全隐患。若未正确配置rel属性,新打开的页面可能操纵原页面,造成安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

偶然看到以前经常在web端使用的语句居然是有问题滴,转载学习一下。

通过使用<a href="" target="_blank"></a>具有安全问题

打开的页面可以通过句柄获取原始页面,操控原始页面。

eg:

起始界面index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>a-target test</title>
</head>
<body>
    <h1><a href="index2.html" target="_blank"> 不安全打开index2</a></h1>
    <h1><a href="index2.html" rel="noreferrer" target="_blank">安全打开index2</a></h1>
</body>
</html>

打开页面index2.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>index2.html</title>
</head>
<body>
    <h1>这个是你打开的页面,看看你原来的页面怎么样子了</h1>
<script>
   setTimeout(function(){
       if (window.opener) {
           window.opener.location = "https://www.baidu.com";
       }
   }, 500);
</script>
</body>
</html>

通过比较上面打开的方式,可得知target="-black" 打开页面的问题。
使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 325
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
理解`target=“_blank“ 属性的使用`
hongfu951的专栏
07-27 4849
自从我了解到超文本链接的target="_blank"后,我逐渐明白了它在构建可访问性和用户便利性方面的作用。其主要目的是在新标签页中打开链接,这对于保持用户对原始页面的参与度可能是有益的。然而,我了解到它并非在所有情况下都适用,并且存在重大的安全考虑因素。让我们更深入地探讨何时使用target="_blank",以及它的缺点。
前端安全之target="_blank"
LXY224的博客
02-18 7827
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
关于a标签【target=‘_blank‘】属性的安全漏洞
Teresa的前端海底乐园
04-02 624
关于a标签【target=’_blank’】属性的安全漏洞 哈哈哈,看到这个标题一定很奇怪吧?应该不止我一个人不理解为什么有些大型网站的浏览器的a标签不设置调整到空白页面打开吧? 好奇心作祟,不死心的去百度了一下。原来:这个属性是有安全缺陷的!!! 其实国外的网页操作“心智模型”是没有打开个新的页面的,Jackon Nielsen有篇文章《Avoid Within-Page Links》,里面讲到用户对链接的心智模型应该是这样的: 1、点击一个链接应该跳转到一个新的页面; 2、点击了一个链接,老的页面不应该
target=’_blank安全漏洞
qq_21121571的博客
09-21 693
如果你在页面上的超链接a标记上添加了target=”_blank”属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。if (window.opener) { window.opener.location = “https://www.webhek.com“; } 通常我们知道使用 window....
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 249
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
为什么使用target="_blank" 属性时会出现安全漏洞
06-08
使用 `target="_blank"` 属性时可能会出现安全漏洞,原因是当用户点击链接时,浏览器会打开一个新的窗口或标签页,并且这个新的窗口或标签页可以通过 JavaScript 访问原始页面的对象,这就可能导致跨站脚本攻击(XSS...
解读代码<html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script> <html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script>
最新发布
03-24
还有jQuery和Swiper库的版本,比如jQuery 1.12.4比较旧了,可能有安全漏洞。public.js可能是一些公共函数。 然后用户的问题可能是想了解这段代码的问题或者结构,但代码明显存在重复和错误,比如重复的html和head...
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用...
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5887
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
如何安全地处理带有 target=“_blank“ 的第三方链接
记录学习的过程
02-12 441
然而,这种做法可能会带来安全隐患。为了确保用户的安全,建议在设置 target=“_blank” 的同时,添加 rel=“noopener noreferrer” 属性。防止钓鱼攻击:如果不添加 rel=“noopener noreferrer”,新打开的页面可以通过 window.opener 访问原始页面的 window 对象,这可能导致安全风险,比如钓鱼攻击。在开发网页时,务必注意第三方链接的安全性。通过这种方式,你可以确保用户在点击链接时,既能享受到新标签页打开的便利,又能避免潜在的安全风险。
window.open()和target= blank存在安全漏洞
粉丝们务必加入微信粉丝群
10-21 3169
作者:Daniel 译者:前端小智 来源:js-craft 我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中.
selenium IDE学习中遇到的问题: Link has target '_blank', which is not supported in Selenium!
weixin_33785972的博客
03-09 344
由于target="_blank",点击链接,会打开一个新的窗体,回放时会出现如下错误提示,且测试失败 [warn] Link has target '_blank', which is not supported in Selenium! Randomizing target to be: selenium_blank3886 解决方法如下: 1、设置火狐浏览器: 选项->内容-&...
target="_blank
qq_42512397的博客
11-07 1万+
1.使用HTML:target="_blank",在新的页面中打开链接,形成父子界面的关系。 _blank -- 在新窗口中打开链接  _parent -- 在父窗体中打开链接  _self -- 在当前窗体打开链接,此为默认值  _top -- 在当前窗体打开链接,并替换当前的整个窗体(框架页) 2.window.opener 的用法  window.opener 返回的是创建当前窗口的那...
a标签target=”_blank”的安全问题及解决办法
热门推荐
chinashanzhang的博客
03-13 2万+
一、定义 A 标签的 target 属性规定在何处打开链接文档。如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后将新的文档载入那个窗口。从此以后,超链接文档就可以指向这个新的窗口。target...
AJAX方法中提交请求,target="_blank" 不能正确打开新的浏览器窗口
一日三省
10-24 1041
问题描述:methodA 方法执行完毕,但是我们发现myForm的target="_blank" 并没有打开一个新的浏览器窗口,而是以openWin的方式打开了一个窗口展示,这是为什么呢? function methodA(subjectId,courseWardId,courseId,stype){  var tab=0;  $.ajax({   url:"***********",
Selenium(七)多窗口切换、等待方法、alert对话框处理
dejiebi3051的博客
03-04 246
一.多窗口切换 1.打开百度首页 2.在百度中搜索博客园 3.从搜索结果中跳转到博客园 4.博客园首页和百度搜索页面切换 handle:句柄 二.等待方法 time.sleep(5) 先导入方法 参数是句柄、等待时间,函数 返回的until方法中的func就是要传进去的自己定义的参数 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值