target='_blank'和window.open()的安全漏洞及修补方法

漏洞存在场景:

NO1、使用target='_blank',且无rel="noopener"或rel="noopener noreferrer"属性。

NO2、使用window.open,但第二个参数使用默认值(即以_blank或默认方式打开)。

这两种使用情况都存在安全漏洞。

 

 

修复方法:

针对NO1的情况,在标签上加上rel="noopener noreferrer"属性即可

<a href='http://www.baidu.com' target='_blank' rel='noopener noreferrer'>
    百度
</a>

针对NO2的情况:

错误写法:

window.open('http://www.baidu.com')
或
window.open('http://www.baidu.com', '_blank')

正确写法:

const win = window.open('http://www.baidu.com')
win.opener = null

 

posted @ 2021-10-20 14:14  吴小明-  阅读(1344)  评论(0编辑  收藏  举报