target='_blank'和window.open()的安全漏洞及修补方法
漏洞存在场景:
NO1、使用target='_blank',且无rel="noopener"或rel="noopener noreferrer"属性。
NO2、使用window.open,但第二个参数使用默认值(即以_blank或默认方式打开)。
这两种使用情况都存在安全漏洞。
修复方法:
针对NO1的情况,在标签上加上rel="noopener noreferrer"属性即可
<a href='http://www.baidu.com' target='_blank' rel='noopener noreferrer'> 百度 </a>
针对NO2的情况:
错误写法:
window.open('http://www.baidu.com')
或
window.open('http://www.baidu.com', '_blank')
正确写法:
const win = window.open('http://www.baidu.com') win.opener = null