target='_blank'和window.open()的安全漏洞及修補方法

本文轉載自查看原文 2021-10-20 14:14 821 js/ h5c3

漏洞存在場景：

NO1、使用target='_blank'，且無rel="noopener"或rel="noopener noreferrer"屬性。

NO2、使用window.open，但第二個參數使用默認值（即以_blank或默認方式打開）。

這兩種使用情況都存在安全漏洞。

針對NO1的情況，在標簽上加上rel="noopener noreferrer"屬性即可

<a href='http://www.baidu.com' target='_blank' rel='noopener noreferrer'>
    百度
</a>

針對NO2的情況：

錯誤寫法：

window.open('http://www.baidu.com')
或
window.open('http://www.baidu.com', '_blank')

正確寫法：

const win = window.open('http://www.baidu.com')
win.opener = null

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 target='_blank' 安全漏洞關於html的a標簽的target="__blank "的安全漏洞問題 window.open()方法詳解 Window.open()方法參數詳解 Window.open()方法參數詳解 Window.open()方法參數詳解 Fortify安全漏洞一般處理方法安全漏洞以及解決方法除去a標簽target="_blank"的方法 window.open 與 iframe