<a> 标签属性 rel=“noopener noreferrer“ 原来这么有用

标签中 rel=“noopener noreferrer”

标签中 target="_blank" 安全漏洞

  在 标签中给链接加上 target="_blank" 后,目标网页会在新的标签页中打开, 此时在新打开的页面中可通过 window.opener 获取到源页面的 window 对象, 这就埋下了安全隐患。

  • 假设一个网页 A 中有超链接指向网页 B。
  • B 网页可以通过 window.opener 获取到 A 的 window 对象,进而网络钓鱼者可以控制 A 网页跳转到一个钓鱼网页(window.opener.location.href =“fishing.com”),用户不知道页面已经跳转,在该页面输入了用户名密码后则发生信息泄露。

设置 rel=“noopener noreferrer” 堵住钓鱼安全漏洞

  • 设置 rel=“noopener” 的链接,window.opener 会为 null,这样新打开的页面便获取不到来源页面的 window 对象了。
  • 设置 rel=“noreferrer” 的链接,新打开的页面也获取不到来源页面的 window 对象。 同时, 新打开页面中还无法获取 document.referrer 信息, 该信息包含了来源页面的地址。

总结

  • 通常 noopener 和 noreferrer 会同时设置,rel=“noopener noreferrer”。因为一些老旧浏览器不支持 noopener。
  • 使用 target="_blank" 在新标签页中打开第三方地址时, 必须设置 rel=“noopener noreferrer”。

你可能感兴趣的:(前端,html,前端,安全漏洞)