target='_blank'和window.open()的安全漏洞及修补方法

漏洞存在场景：

NO1、使用target='_blank'，且无rel="noopener"或rel="noopener noreferrer"属性。

NO2、使用window.open，但第二个参数使用默认值（即以_blank或默认方式打开）。

这两种使用情况都存在安全漏洞。

 

 

修复方法：

针对NO1的情况，在标签上加上rel="noopener noreferrer"属性即可

<a href='http://www.baidu.com' target='_blank' rel='noopener noreferrer'>
    百度
</a>

针对NO2的情况：

错误写法：

window.open('http://www.baidu.com')
或
window.open('http://www.baidu.com', '_blank')

正确写法：

const win = window.open('http://www.baidu.com')
win.opener = null