防止<a target=“_blank“>注入攻击网站

最新推荐文章于 2023-12-14 10:10:37 发布
最新推荐文章于 2023-12-14 10:10:37 发布
阅读量180 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43896145/article/details/131851511
文章讨论了HTML链接如何利用`window.opener`属性进行潜在的恶意重定向,并提出了添加`rel=noreferer,noopener`来增强`target=_blank`链接的安全性,防止钓鱼攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<li>
  <a href="bad.example.com" target="_blank">Vulnerable target using html link to 
   open the new page</a>
</li>


if (window.opener) {
window.opener.location = "https://phish.example.com";
}

解决措施:

add rel="noreferer, ,noopener" to avoid this issue wherever target="blank" is placed.

<a href="xxxx"rel="noreferer,noopener" target="_blank" style="text-decoration:none;">
  <button type="button">Download Now</button>
</a>

十三月❀
关注
前端安全之target="_blank"
LXY224的博客
02-18 7810
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
bwapp通关教程
qq_45756971的博客
11-01 6861
** HTML Injection - Reflected (GET) ** low: 低级漏洞中,输入数据没有做校验 First name: <script>alert( 'xss' )</script> Last name: <script>alert( 'xss' )</script> 出现xss即为成功。 medium 和low一样,但发现被全部显示 抓包,会发现符号<>均被编码 0,1,2分别对应三个等级 找见对应的/bWAPP/bw
a标签 target=“_blank“ 打开新页面 安全问题
m0_67413588的博客
12-14 1797
这样新窗口的window.openner就是null了,而且会让新窗口运行在独立的进程里,不会拖累原来页面的进程。除了安全隐患外,还有可能造成性能问题。如果只是加上target="_blank",打开新窗口后,新页面能通过window.opener获取到来源页面的window对象,即使跨域也一样。我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性。另外,对于通过window.open的方式打开的新页面,可以这样做:​。
a标签 莫名其妙自动加上 target=“_blank“ 的问题
weixin_45784582的博客
09-03 820
1、自动加上 target="_blank"的原因: a标签不需要跳转,千万不要加这两种方法;不然点击a标签时,会自动在a标签中加上 target="_blank" <!--第一种--> <a href="javascript:;">我不会被跳转</a> <!--第二种--> <a href="javascript:void(0)">我不会被跳转</a> 2、解决方法: (1) 去掉 href="javascript:;" 或 hr
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5866
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
HTML中a标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性值
BOKEhhh的博客
04-05 3万+
本文记录了对HTML中<a>标签的target属性的“_blank”、“_self”、“_parent”、“_top”这4个属性值的效果的测试。 使用<frame>标签,做一个有框架的网页,为了能看出HTML中<a>标签的target属性的“_self”和“_parent”这2个属性值的不同效果,需要这个网页还有框架的嵌套,框架思路如下图所示: 该...
阻止a标签默认行为的方法
小皮咖的博客
11-23 471
以下简单总结以下a标签阻止默认行为的几种简单方法,希望可以对有需要的朋友有些帮助,(1) <a href="javascript:void(0);" onclick= "myjs( )"> Click Me </a>onclick方法负责执行js函数,而void是一个操作符,void(0)返回undefined,地址不发生跳转。<a href="javascript:;" > Click
<?php $link=mysqli_connect("localhost","user","123456","database","3307"); if(!empty($_POST["tijiao"])) { //$sql="delete from xxnews where ID=".$_GET["dID"]; //$rs=mysqli_query($link,$sql); $title=$_POST["title"]; $author=$_POST["author"]; $newsDate=$_POST["newsDate"]; $source=$_POST["source"]; $content=$_POST["content"]; $sql="update from xxnews where ID=".$_POST["uID"]; $rs=mysqli_query($link,$sql); //$link=mysqli_connect("localhost","user","123456","database","3307"); // $sql="update xxnews set title='".$title."',author='".$author."',newsDate='".$newsDate."',source='".$source."',content='".$content."' where ID=".$_GET["uID"]; // $rs=mysqli_query($link,$sql); } ?> <div class="head1"> XX新闻中心 </div> <?php $link=mysqli_connect("localhost","user","123456","database","3307"); $sql="SELECT * FROM xxnews WHERE ID = ".$_POST["ID"]; $rs=mysqli_query($link,$sql); while($rows=mysqli_fetch_array($rs)) { echo "<form action='update.php?uID=".$rows["ID"]."' method='post' target='_blank'>"; echo "<div class='head2'>"; echo "标题:<input type='text' name='title' value='".$rows["title"]."' />"; echo "</div>"; echo "<div class='head3'>"; echo "作者:<input type='text' name='author' value='".$rows["author"]."' />       "; echo "时间:"; date_default_timezone_set('PRC'); echo "<input type='text' name='newsDate' value='".date('Y-m-d', time())."' />"; echo "        来源:<input type='text' name='source' value='".$rows["source"]."' />       <input type='submit' name='tijiao' value='修改新闻' class='tijiao' />"; echo "</div>"; echo "<div class='content'>"; echo "<textarea class='content1' name='content'>"; echo $rows["content"]; echo "</textarea>"; echo "</div>"; echo "</form>"; } ?> <div class="footer"> XX新闻<br /> 地址:广东省肇庆市端州区广东工商职业技术大学星湖校区<br /> 电话:123456789 </div>这段代码有什么问题
06-12
在将用户输入的数据插入数据库之前,应该对其进行转义,以防止SQL注入攻击。可以使用 `mysqli_real_escape_string()` 函数来转义数据。 5. 在更新数据时,没有检查SQL语句是否执行成功。应该使用`mysqli_affected_...
点击附件会跳转刀新标签页出现异常 FacesUtils.showError("下载失败", ExceptionUtils.getRootCauseMessage(e));没生效, <p:column style="text-align:center;width:100px" headerText="附件" > <p:commandLink value="#{item.fileName}" ajax="false" target="_blank"> <p:fileDownload value="#{tool_personClear.downloadFile(item.filePath)}" contentDisposition="inline" /> <p:spacer width="10px"/> </p:commandLink> </p:column>, public StreamedContent getFtpFile(String path) { DefaultStreamedContent result = new DefaultStreamedContent(); try { Path ftpPath = Paths.get(path, new String[0]); byte[] bytes = this.ftpRemote.downloadBytes("MES_CLUSTER_FTP", ftpPath.toString()); if (bytes == null || bytes.length == 0) { throw new EJBException("文件内容为空"); } String fileExt = path.split("\\.")[1].toLowerCase(); String fileType = "pdf".equals(fileExt) ? "application/pdf" : ("image/" + fileExt); result = new DefaultStreamedContent(new ByteArrayInputStream(bytes), fileType, path); } catch (Exception e) { FacesUtils.showError("下载失败", ExceptionUtils.getRootCauseMessage(e)); } return result; }
最新发布
08-02
由于前端使用了 `ajax="false"` 和 `target="_blank"`,这意味着这是一个非AJAX请求,并且会打开一个新标签页。 2. 当后端发生异常时,异常信息会被捕获,然后调用 `FacesUtils.showError` 来添加一个FacesMessage...
public function searching(){ if(isset($_GET["keyword"])){ $keyword = $_GET["keyword"]; $News = D('News'); $where['title'] = array('like', '%'.$keyword.'%'); //$where['date'] = array('like','%'.$keyword.'%'); $where['caiyong'] = 1; $where['_logic'] = 'and'; import('ORG.Util.Page');// �����ҳ�� $count = $News->where($where)->count();// ��ѯ����Ҫ����ܼ�¼�� $Page = new Page($count,5);// ʵ������ҳ�� �����ܼ�¼����ÿҳ��ʾ�ļ�¼�� $show = $Page->show();// ��ҳ��ʾ��� // ���з�ҳ���ݲ�ѯ ע��limit�����IJ���Ҫʹ��Page������� $result = $News->where($where)->relation(true)->order('id desc')->limit($Page->firstRow.','.$Page->listRows)->select(); if ($result){ echo " <ul class='media-list'> "; foreach ($result as $key=>$v){ if ($result[$key]['link_type'] == 1){ $url = $result[$key]['links']; }else{ $url = "/Index/article/number/".$result[$key]['number']; } echo "<li>"; echo "<a href='".$url."' target='_blank'>".cut($result[$key]['title'], 15)."</a>"; echo "</li>"; } echo "</ul>"; echo "<a style='color:#ff0000;' href='/Index/search/?keyword=".$_GET["keyword"]."'>�鿴����...</a>"; }else{ echo "��ʱû����������..."; } } } public function search(){ if(isset($_GET["keyword"]) and $_GET["keyword"] != null){ $keyword = $_GET["keyword"]; $News = D('News'); $Theme = D('Theme_article'); if($_GET['type'] == '1' || $_GET['type'] == null){ $where['title'] = array('like', '%'.$keyword.'%'); //$where['content'] = array('like', '%'.$keyword.'%'); $where['_logic'] = 'or'; $map['_complex'] = $where; $map['caiyong'] = '1'; import('ORG.Util.Page');// $count = $News->where($map)->count();// 以上是一段搜索功能代码,如何屏蔽指定字眼比如屏蔽“马斯”
03-10
此外,输入的处理需要安全,防止SQL注入或其他攻击。即使用户的搜索功能已经对输入进行了处理,添加屏蔽词功能时也要确保不引入新的安全漏洞。例如,使用预处理语句来处理数据库查询,或者在过滤屏蔽词之后再进行...
html中<a>标签_top和_parent的区别
A458545418的博客
05-07 1408
在html中,<a>标签有个target属性,而targe属性有四个值,分别是:_blank、_self、_top、_parent。前两个相信很好理解,第一个就是在新窗口中打开的意思,第二个时候默认的,就是在当前窗口打开,那下面来说下后两者的区别。 _top就是打开的页面占据了整个页面,_parent就是打开的页面只是在父页面中打开,现在可能有点不太好理解,...
【Html】a标签target: ‘_blank‘, rel: ‘noopener‘
CCC0203的博客
12-20 3033
为了安全性。 使用target=’_blank’打开一个新标签时,新页面的window对象上有一个属性opener,它指向的是前一个页面的window对象,因此,后一个页面就获得了前一个页面的控制权。 比如的 a 标签是这样<a href='/index'>打开连接</a>,打开后在控制台输入 window.opener.alert(1),该页面会弹出警告框。 如果你需要用 a 标签打开一个标签页时,你会使用 target=’_blank’ 这个属性,此时你需要添加 rel=‘no
a 标签 打开新窗体 target="_blank" 失效 解决办法
蜗牛水里爬
06-02 1万+
<br />问题在 a 标签中 已加入 target="_blank"  <br />而网页打开 只在一个新窗口中打开<br />始终都在改新窗口中刷新内容<br />用户如果失去该窗口的焦点 <br />在原窗口中点击 a 标签 用户 看不到 新打开的窗体 <br />实际已在失去焦点的窗体中 刷新了内容<br />会给用户造成错觉  这就是为什么现在大家浏览有些网站 会发现这个问题<br /> <br />解决方案一、<br />1、在 head 标签 加入<base target="_blank" /
让a标签禁止点击的方法
热门推荐
SuperCookies的博客
10-24 5万+
让a标签禁止点击的两个方法
在<a></a>标签中如何调用javaScript脚本
mm
10-23 926
在<a></a>中调用javaScript脚本的方法推荐如下: 1、<a href="javascript:void(0);" onclick="js_method()”></a> 这种方法是很多网站最常用的方法,也是最周全的方法,onclick方法负责执行js函数,而void是一个操作符,void(0)返回undefined,地址不发生跳转...
关于禁用html中a标签的思考
gaohuanjie的专栏
05-12 1万+
其实这个问题在初次学习html中select标签时就已经冒出来了,时至今日,依然没有找到使用纯css禁用a标签的办法——同事、同学、老师我都问过了,他们都千篇一律借助了JavaScript,难道真的必须要借助JavaScript吗?
HTML中<a>标签和target=“_blank“属性的使用方法及作用(清晰易懂,带例子)
m0_53558236的博客
11-23 2万+
HTML中标签和target="_blank"属性的使用方法及作用(清晰易懂,带例子)
关于html的a标签的target="__blank "的安全漏洞问题
weixin_33795806的博客
09-26 761
使用场景:最近项目中使用一个a标签的 target="__blank "链接跳转 页面,打开一个新的 pdf文件(或者外部的一个网页),然后在chrome浏览器中快速的滑动的时候,页面偶尔会出现空白现象,这可能是一个浏览器的漏洞,如何解决这个问题,需要对a标记需要target="__blank "的链接中,我们加上rel="nofollow noopener noreferrer" 这个就可以解决...
动态创建a标签,解决部分浏览器阻拦问题
看陌生的风景的博客
07-22 885
// 方法一 (触发点击事件,不新打开一页) const a = $("<a><i id='selfClick'></i></a>"); a.attr('href', items.videoUrl); $('body').append(a); a.css('display', 'none'); $('#selfClick').click(); a.remove(); // 方法二 (.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值