唯品秀前端博客
当前位置: 前端开发 > HTML/CSS > 使用a标签时,可能会忽略的一个安全问题

使用a标签时,可能会忽略的一个安全问题

2020-05-11 分类:HTML/CSS 作者:伊云 阅读(235)

本篇文章将会说到a标签_blank的缺陷和同进程产生的问题和解决方法,a标签有什么安全问题?有兴趣的小伙伴,可以来看一下哦~

a标签_blank的缺陷:

当一个链接使用target="_blank"的方式,这个链接会打开一个新的TAB,但会和原始页面[点击链接页]占用一个进程。如果新的页面因为资源过大或有一个很高的加载时间,那么也会影响到原始页面的展示。

同进程产生的问题

  • 同域:可以在新页面访问到原始页内的所有内容,包括document对象,方法(window.opener.document)
  • 异域:输入不能访问document,但仍可以通过(window.opener.location)访问到原始页的location,也就是说,在新页面可以使用window.opener一定程度上的修改原始页面内容,甚至是href。

安全问题的产生:

同域的情况下,打开钓鱼网站的可能性还是非常小的,利用同进程的可以访问document特性,来做一些操作,如QQ登录,登录完后传递回参数。

但在异域情况下就不怎么乐观了,比如A页面打开了B页面,然后B页面打开了一个钓鱼网站C页,此时C页用能访问到A页的location,C页[钓鱼网站]修改了A的location.href跳转到一个原始页一样的钓鱼网站,当用户切换回A进行操作时,就很有可能导致隐私数据的泄露。

解决办法

新版本浏览器:

1
<a href="xxx.xxx" rel="noopener"></a>

老版本浏览器:

1
<a href="xxx.xxx" rel="noreferrer">1231456</a>

兼容写法:

1
<a href="xxx.xxx" rel="noopener noreferrer"></a>

用javascript解决:

1
2
3
var otherWindow = window.open();
otherWindow.opener = null;
otherWindow.location = url;

后记

如果用open打开页面,则可以通过清除掉opener和location达到相同的效果。

「三年博客,如果觉得我的文章对您有用,请帮助本站成长」

赞(1) 打赏

谢谢你请我吃鸡腿*^_^*

支付宝
微信
1

谢谢你请我吃鸡腿*^_^*

支付宝
微信
标签:

上一篇:

下一篇:

你可能感兴趣

0 条评论关于"使用a标签时,可能会忽略的一个安全问题"

博客简介

唯品秀博客: weipxiu.com,一个关注Web前端开发技术、关注用户体验、坚持更多原创实战教程的个人网站,愿景:成为宇宙中最具有代表性的前端博客,期待您的参与,主题源码 

精彩评论

  • 江吟辞(1周前 (06-29))

    好难坚持啊,我还没毕业,不知道啥时候才能像您一样厉害

    评:碎言碎语
  • 和我、恋爱吧(1周前 (06-29))

    怎么没见你更新呢,比较忙吗

    评:碎言碎语
  • 游离(1周前 (06-29))

    站主,你好!请教一下,前台的pc 端和移动端,你是怎么实现响应式的呢?媒体查询的同时写两套样...

    评:碎言碎语
  • 권지용(1周前 (06-29))

    最近在学习前端,看了博主很多文章,收益匪浅,感谢大佬

    评:碎言碎语
  • 白君也(1周前 (06-28))

    哇 自己制作的吗 在哪学的技术啊 好厉害

    评:碎言碎语
  • 管理员(3周前 (06-16))

    时间区间问题,因为目前是2020年,你所选不可能超出这个时间吧,当然,代码是根据你的业务来,...

    评:js时间戳完美转换成阴历农历格式

友情链接

他们同样是一群网虫,却不是每天泡在网上游走在淘宝和网游之间、刷着本来就快要透支的信用卡。他们或许没有踏出国门一步,但同学却不局限在一国一校,而是遍及全球!申请交换友链

站点统计

  • 文章总数: 258 篇
  • 草稿数目: 0 篇
  • 分类数目: 16 个
  • 独立页面: 6 个
  • 评论总数: 902 条
  • 链接总数: 17 个
  • 标签总数: 459 个
  • 注册用户: 8220 人
  • 访问总量: 9212952 次
  • 最近更新: 2020年7月3日
服务热线:
 173xxxx7240

 QQ在线交流

 旺旺在线