作者:Daniel译者:前端小智洗碗的智慧。本文已收录到GitHubhttps://github.com/qq449245884/xiaozhi,里面有完整的测试站点、资料和我的一线厂商访谈系列文章。我们经常使用HTMLtarget="_blank"或window.open()在新窗口中打开页面。//在htmlopengoogle//在javascriptwindow.open("www.google.com")但是,当新打开的页面指向一个我们不知道的网站,我们暴露在钓鱼网站的漏洞中。新页面通过window.opener对象访问链接页面的某些部分。例如,window.opener.location可用于将启动页面的用户指向一个伪造的网络钓鱼站点,该站点模仿原始站点的外观并执行各种令人讨厌的事情。鉴于用户信任他们已经打开的页面,这可能非常有效。为了防止这种情况,我们可以:在HTML中使用rel="noopener和target="_blank"。在新标签页中安全打开在Javascript中,一定要重新设置opener属性:constnewWindow=window.open("someLink.com");newWindow.opener=null;后续:现在看来noreferrer是多余的,所以noopener`的使用HTML的量应该够用了,代码部署后可能出现的BUG,无法实时知道,为了事后解决这些BUG,花了不少时间在日志调试上,顺便推荐一个好用的BUG监控工具Fundebug。原文:http://www.js-caft.io/blog/wi...交流有梦想,有干货,微信搜索【大招走向世界】关注这位还在洗碗的洗碗智慧清晨。本文GitHubhttps://github.com/qq44924588...已收录,有完整的测试站点、资料和我的一线厂商访谈系列文章。
