target='_blank'和window.open()的安全漏洞及修补方法

本文转载自查看原文 2021-10-20 14:14 821 js/ h5c3

漏洞存在场景：

NO1、使用target='_blank'，且无rel="noopener"或rel="noopener noreferrer"属性。

NO2、使用window.open，但第二个参数使用默认值（即以_blank或默认方式打开）。

这两种使用情况都存在安全漏洞。

针对NO1的情况，在标签上加上rel="noopener noreferrer"属性即可

<a href='http://www.baidu.com' target='_blank' rel='noopener noreferrer'>
    百度
</a>

针对NO2的情况：

错误写法：

window.open('http://www.baidu.com')
或
window.open('http://www.baidu.com', '_blank')

正确写法：

const win = window.open('http://www.baidu.com')
win.opener = null

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 target='_blank' 安全漏洞关于html的a标签的target="__blank "的安全漏洞问题 window.open()方法详解 Window.open()方法参数详解 Window.open()方法参数详解 Window.open()方法参数详解 Fortify安全漏洞一般处理方法安全漏洞以及解决方法除去a标签target="_blank"的方法 window.open 与 iframe