如何安全地处理带有 target=“_blank“ 的第三方链接

最新推荐文章于 2025-02-13 14:07:18 发布
最新推荐文章于 2025-02-13 14:07:18 发布
阅读量386 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: 安全 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ybg8912/article/details/145583970

在网页开发中,我们经常使用 target=“_blank” 属性来让链接在新标签页中打开。然而,这种做法可能会带来安全隐患。为了确保用户的安全,建议在设置 target=“_blank” 的同时,添加 rel=“noopener noreferrer” 属性。

为什么需要这样做?

防止钓鱼攻击:如果不添加 rel=“noopener noreferrer”,新打开的页面可以通过 window.opener 访问原始页面的 window 对象,这可能导致安全风险,比如钓鱼攻击。

保护用户隐私:noreferrer 属性可以防止新页面获取到原始页面的引用信息,从而保护用户的隐私。

如何正确设置链接

<a href="https://example.com" target="_blank" rel="noopener noreferrer">安全链接</a>

通过这种方式,你可以确保用户在点击链接时,既能享受到新标签页打开的便利,又能避免潜在的安全风险。

总结

在开发网页时,务必注意第三方链接的安全性。通过添加 rel=“noopener noreferrer” 属性,可以有效防止潜在的安全隐患,保护用户的隐私和数据安全。

使用 target=“_blank“ 时保护您的用户免受恶意网站的侵害
liuhao9999的博客
06-15 322
使用 target="_blank" 时保护您的用户免受恶意网站的侵害
带有 target=“_blank“ 属性且带有 rel=“noopener noreferrer“ 属性的第三方链接
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-14 939
React中只使用target="_blank"会出现警告,是因为你开启了eslint校验警告如下:带有 target="_blank" 属性且带有 rel="noopener noreferrer" 属性的第三方链接看似很麻烦,其实只需要加上rel="noopener noreferrer"就可以了。 现在,许多主流的互联网服务提供商都会在网页的链接地址中加入target=”_blank”属性,而这绝对是一种非常安全的行为。仅如此,target=”_blank”属性还将会使广大互联网用户暴露在钓鱼攻
Web低危漏洞之安全第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 2535
前言 针对于低危漏洞之安全第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
Using target=“_blank“ without rel=“noreferrer“ (which implies rel=“noopener“) 【前端安全
m0_63779088的博客
07-24 1069
rel="noopener noreferrer"
危险的 target=“_blank” 与 “opener”
码飞_CC的博客
07-09 899
在学习安全研发规范的时候,发现一条规则“通过 A 标签跳转到其他页面且使用 target=_blank 时,必须添加 rel=noopener 属性”,这个以前还真没了解到,遂查询了一下,发现一片文章写得挺错的,这里就自己写,转载一下了(危险的 target="_blank" 与 “opener”) 以下来自转载: 在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 a 标签上添加 target等于"_blank" 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5866
我们开发人员注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
前端安全target="_blank"
LXY224的博客
02-18 7810
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
Jekyll-target-blank 插件:自动化管理外部链接
在默认情况下,网站生成后,所有指向外部主机的锚标记和Markdown链接都会自动带有`target="_blank" rel="noopener noreferrer"`属性。这意味着网站所有者需要额外编写代码,便可以确保访问者在点击外部链接时获得...
HTML 链接
unber的博客
02-13 811
除了链接到其他网页外,您还可以在同一页面内创建内部链接,这称为锚点链接。标签创建,通常用于将用户从一个页面导航到另一个页面、从一个部分跳转到页面中的另一个部分、下载文件、打开电子邮件应用程序或执行 JavaScript 函数等。超链接可以是一个字,一个词,或者一组词,也可以是一幅图像,您可以点击这些内容来跳转到新的文档或者当前文档中的某个部分。这是超链接最重要的属性,用来指定链接的目的地,可以是另一个网页、文件、邮件、电话号码或 JavaScript。您还可以使用图像作为链接。本例演示如何链接到一个邮件。
解读代码含义<html> <head lang="en"> <meta charset="UTF-8"> <meta name="Robots" content="all"> <meta name="viewport" content="width=device-width,intial-scale=0,maximum-scale=0,user-scalable=yes,shrink-to-fit=no"> <meta http-equiv="X-UA-Compatible" content="IE=Edge, chrome=1"> <meta name="referrer" content="unsafe-url"> <meta name="renderer" content="webkit"> <meta name="description" content=""> <meta name="keywords" content=""> <title></title> <base target="_blank"> <link href="css/animate.css" rel="stylesheet"> <link rel="stylesheet" href="css/reset-pc.css"> <link rel="stylesheet" href="css/animate.css"> <link rel="stylesheet" href="css/index.css?202310141454"> <script src="js/jquery.1.12.4.min.js"></script> <script src="js/swiper-bundle.min.js?v=202104131601"></script> <script src="js/public.js?v=202104131601"></script>
最新发布
03-24
首先,我得仔细看一下用户提供的代码结构,然后逐部分分析每个标签和属性的作用。...- 第三方库的加载(jQuery + Swiper) - 浏览器兼容性设置 - 样式初始化与动画支持 需要进一步完善SEO优化和响应式设计细节。
target=’_blank安全漏洞
qq_21121571的博客
09-21 692
如果你在页面上的超链接a标记上添加了target=”_blank”属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。if (window.opener) { window.opener.location = “https://www.webhek.com“; } 通常我们知道使用 window....
target="_blank" 安全漏洞
喜欢文学的程序员
04-26 1111
工作中,经常在<a>标签中添加target="_blank",用来在新窗口打开页面,尤其是打开外链应用率几乎是100%。可是最近看到这竟然有一个巨大的安全隐患: 比如在index.html中跳转到index2.html <a href="index2.html" target="_blank">link</a> 在index2.html中添加一段js代码...
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 246
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
链接 target="_blank" 要增加 rel="noopener noreferrer"
蜗牛先生
01-08 8875
我在a标签上使用了target="_blank": <a href="xxx" target="_blank" >了解更多</a> 然后代码就飘红了,显示如下错误: Using target="_blank" without rel="noopener noreferrer" is a security risk: see https://m...
关于HTML中的target=“_blank“问题
debugtoday的博客
02-23 2万+
关于HTML中的target="_blank"问题
HTML中<a>标签和target=“_blank“属性的使用方法及作用(清晰易懂,带例子)
热门推荐
m0_53558236的博客
11-23 2万+
HTML中标签和target="_blank"属性的使用方法及作用(清晰易懂,带例子)
html a标签targetblank,关于a标签target_blank使用rel=noopener
weixin_34757706的博客
06-16 628
一、为什么要使用rel='noopener'?先举个栗子DocumentdaDocumentwindow.opener.location.href ="http://google.com"其中在a.html中有个超链接,点击后打开新的tab页,神奇的发现原tab页已经变成了谷歌页面。原因是使用target=_blank打开新的窗口时,赋予了新的窗口一些权限可以操作原tab页,其中window.lo...
前端代码常见的安全缺陷(一)
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
04-22 2726
在使用标签中使用target属性,当值设置为“_blank”攻击者会针对`window.opener`API进行恶意行为的攻击,有可能导致钓鱼安全漏洞问题。例如,以下示例使用的`target`属性,但是没有设置`rel`属性。
HTML 中 a 标签的 target=blanktarget=_blank 的区别
weixin_43632186的博客
07-01 5755
前言 去年学前端基础三剑客的时候,知道了超链接既可以在当前页打开,也可以在新标签页中打开,默认情况下,如果设置 a 标签上 target 属性的值,那么点击超链接时,当前页会被超链接的目标页覆盖掉;如果希望在新页面中打开超链接,则需要在 a 标签上加上 target="_blank" 。 正文 时隔将近一年,最近在学前后端分离相关的技术时,刚好要实现一个页面的跳转,写的时候没注意,把 target="_blank" 错写成了 target="blank" ,少写了一个下划线。过运行后似乎也没出现什么大问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦幻南瓜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值