target='_blank' 安全漏洞

原创 已于 2022-10-25 18:29:40 修改 · 386 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #safari #chrome

于 2017-07-03 15:53:39 首次发布

target="_blank"的安全缺陷


有关 target="_blank" 的安全缺陷

可能大家在写网页的时候经常给超链接加个属性 target="_blank",意思就是在浏览器新的窗口打开此超链接,但是大多数人应该都注意不到这个属性是有安全缺陷的。

具体说明下:比如说,当前网页中有个a标签的是

<a href="http://www.cnblogs.com/zqifa/" target="_blank"></a>

点击后跳转到的新的窗口的网页拥有了浏览器window.opener对象赋予的对原网页(在这里是你现在所处的页面)的部分权限。

对于这种正常的情况就不做demo演示了,此处不做特殊处理的话就是点击超链接打开了2个普通的页面罢了。

但是如果我在新打开的页面上加上一句JavaScript就不一样了, 上代码

<script type="text/javascript">

if(window.opener){
opener.location="http://www.cnblogs.com/zqifa/";
alert("刚才的超链接是有安全隐患的!看一下前一个窗口的页面是否发生了改变");
}else{
alert("刚才的超链接是安全的!前一个窗口的页面没有任何变化!");
}

</script>

或者

<script type="text/javascript">

setTimeout(function(){ if (window.opener) { window.opener.location = "https://shop162567423.taobao.com";} }, 3000);

</script>

请点击此超链接测试有安全缺陷的情况:这是测试有安全隐患的超链接

这个安全隐患就可能被别有用心的人所利用,用户

最低0.47元/天 解锁文章
理解`target=“_blank“ 属性的使用`
hongfu951的专栏
07-27 5360
自从我了解到超文本链接的target="_blank"后,我逐渐明白了它在构建可访问性和用户便利性方面的作用。其主要目的是在新标签页中打开链接,这对于保持用户对原始页面的参与度可能是有益的。然而,我了解到它并非在所有情况下都适用,并且存在重大的安全考虑因素。让我们更深入地探讨何时使用target="_blank",以及它的缺点。
前端安全之target="_blank"
LXY224的博客
02-18 7923
关于前端安全问题,一直关注的比较少。从target="_blank"开始! 如果你开启了eslint校验,如下的写法: &lt;a target="_blank" href={`https://work.alibaba-inc.com/nwpipe/search?keywords=${item.nickName}&amp;type=person`} &gt;XXXX &lt;/a&g...
target='_blank' 安全漏洞
weixin_33802505的博客
09-13 291
target="_blank"的安全缺陷 有关 target="_blank" 的安全缺陷 可能大家在写网页的时候经常给超链接加个属性 target="_blank",意思就是在浏览器新的窗口打开此超链接,但是大多数人应该都注意不到这个属性是有安全缺陷的。 具体说明下:比如说,当前网页中有个a标签的是 &lt;a href="http://www.cnblogs.com/zqifa/" ...
target='_blank' 安全漏洞示例
weixin_34258838的博客
09-01 269
本文转载自:众成翻译译者:kayson链接:http://www.zcfy.cc/article/1178原文:https://dev.to/ben/the-targetblank-vulnerability-by-example 更新: Instagram已经解决了这个问题, 很可能是因为这篇文章。Facebook和Twitter仍未解...
target="_blank"的使用
qq_32095903的博客
05-06 5004
_blank – 在新窗口中打开链接 _parent – 在父窗体中打开链接 _self – 在当前窗体打开链接,此为默认值 _top – 在当前窗体打开链接,并替换当前的整个窗体(框架页) 一个对应的框架页的名称 – 在对应框架页中打开整理了一下个人觉target=”_blank”的使用需要注意的地方:1,正文的注解一般都target=”_blank”;(让用户为了注解而离开正文是
target=“_blank :目标——空白
lqy325的博客
05-19 745
1.使用HTML:target="_blank",在新的页面中打开链接,形成父子界面的关系。 _blank -- 在新窗口中打开链接 _parent -- 在父窗体中打开链接 _self -- 在当前窗体打开链接,此为默认值 _top -- 在当前窗体打开链接,并替换当前的整个窗体(框架页) 2.window.opener 的用法 window.opener 返回的是创建当前窗口的那个窗口的引用,比如点击了a.htm上的一个链接而打开了b.htm, 然后我们打算在b.htm上输入一个值然后赋予...
target="_blank" 变为 rel="external"
lining213的专栏
01-05 1154
<br />rel属性<br />HTML4.0增加了一个新属性:rel,这个属性用来说明链接和包含此链接页面的关系,以及链接打开的目标。rel有许多的属性值,比如next、previous,、chapter、section等等。我们要使用的就是rel="externa l"属性。原来这样写的代码:<a href="document.html" target="_blank"> 打开一个新窗口</a><br />现在要写成这样:<a href="document.html" rel="exter
为什么使用target="_blank" 属性时会出现安全漏洞
06-08
使用 `target="_blank"` 属性时可能会出现安全漏洞,原因是当用户点击链接时,浏览器会打开一个新的窗口或标签页,并且这个新的窗口或标签页可以通过 JavaScript 访问原始页面的对象,这就可能导致跨站脚本攻击(XSS...
return ` <a href="${url}" target="_blank" style="color: #3576ED; cursor: pointer; text-decoration: underline;" onclick="event.preventDefault(); window.open(&#39;${url}&#39;, &#39;_blank&#39;);" > 【${content}】 </a> `;详细解释这段代码
最新发布
10-31
| 缺少 `rel="noopener noreferrer"` | 当使用 `target="_blank"` 时,应加上此属性防止安全漏洞(如 reverse tabnabbing) | | 内联样式不利于维护 | 推荐使用 CSS 类代替内联 `style` | | `window.open()` 可能被...
关于HTML中的target=“_blank“问题
debugtoday的博客
02-23 2万+
关于HTML中的target="_blank"问题
php target当前页面,href标签target=_blank属性的妙用
weixin_42399813的博客
03-10 4533
我们都知道 html 超链接标签 href 属性 target="_blank" 的作用是使打开的链接以新开的窗口形式出现。但是除了直接写在 href 标签里面,你还知道有其他更巧妙的给链接加 target="_blank" 的办法吗?下面作者将要和大家分享的是如何巧妙的使用 href target="_blank" 这个标签。首先来看看 target="_blank" 的用处:php+js 实现...
HTML中<a>标签和target=“_blank“属性的使用方法及作用(清晰易懂,带例子)
热门推荐
m0_53558236的博客
11-23 2万+
HTML中标签和target="_blank"属性的使用方法及作用(清晰易懂,带例子)
HTML 中 a 标签的 target=blank 和 target=_blank 的区别
weixin_43632186的博客
07-01 5965
前言 去年学前端基础三剑客的时候,知道了超链接既可以在当前页打开,也可以在新标签页中打开,默认情况下,如果不设置 a 标签上 target 属性的值,那么点击超链接时,当前页会被超链接的目标页覆盖掉;如果希望在新页面中打开超链接,则需要在 a 标签上加上 target="_blank" 。 正文 时隔将近一年,最近在学前后端分离相关的技术时,刚好要实现一个页面的跳转,写的时候没注意,把 target="_blank" 错写成了 target="blank" ,少写了一个下划线。不过运行后似乎也没出现什么大问
target=_blank与target=_self的区别
ahzxj2012的专栏
11-26 1820
target=_blank会在当前窗口之外再打开一个新窗口来显示新的页面, 这样,用户可以看当前窗口的内容,就不觉的无聊,而且可以打开其它栏目,慢慢等待各个请求依次完成,这样就比target=_self在当前窗口打开新页 面,用户需要长时间看着一个一成不变的页面等待,或看着缓慢移动的滚动条发呆,要好得多 说白了,就是:target=_blank打开新页面,target=_self在本身页面中打开
应怎样看待 target="_blank" 的使用?
evilcry2012的专栏
11-01 1223
应怎样看待 target="_blank" 的使用? 或者说,应该在什么情况下使用该属性会比较合理 关注者 181 被浏览 49779 ​1 条评论 ​分享 ​邀请回答 ​举报 ​ 关注问题写回答
blank
hebzh的专栏
05-10 585
{优快云:CODE:jqueryblockUI}
HTML:target=
zhishiwozaiyebuneng的专栏
12-11 495
blank -- 在新窗口中打开链接 _parent -- 在父窗体中打开链接 _self -- 在当前窗体打开链接,此为默认值 _top -- 在当前窗体打开链接,并替换当前的整个窗体(框架页)
window.open()和target= blank存在安全漏洞
canyi8023的博客
10-22 3040
我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。 // in html <a href="www.google.com" target="_blank">open google</a> // in javascript window.open("www.google.com") 复制代码 但是,当新打开的页面指向一个我们不知道的网站时,我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了
target=“_blank”属性引入的漏洞总结
阳光男孩的专栏
01-10 5957
我们开发人员不注意添加rel="noopener"(火狐浏览器中要使用rel="noopener noreferrer"完整覆盖)或者社区网站,邮件等可以添加链接的方式传播知识或重要的邮件时,这都很可能就被黑客用来进行钓鱼的一个可大可小的漏洞存在。 这其实就是利用target=”_blank”触发window.openr API实现,其中window.location还是浏览器跨域访问的漏网之鱼,利用这种方式,只要在链接网页的Javascript中添加以下代码就可以很容易实现钓鱼
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kingofyz

此处弱弱求打赏~~万一有好心人

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值