target="_blank"导致父页面被跳转的安全漏洞

3277
7
2016-08-29

#漏洞预警# 国外网友近日曝出大部分网站都忽视了的安全漏洞,包括 Facebook,Twitter,Google 等都被检测出带有 target="_blank" 安全缺陷。

你可以点击 这里 测试这个安全问题。带有 target="_blank" 跳转的网页拥有了浏览器 window.opener 对象赋予的对原网页的部分权限,这可能会被恶意网站利用。

<script language="javascript">
window.opener.location = 'https://example.com'
</script>

漏洞修复方法:为 target="_blank" 加上 rel="noopener noreferrer" 属性。

预计该“安全漏洞”影响了 99% 的互联网网站和大部分浏览器,Instagram 已修复这个问题,有趣的是谷歌拒绝修复这个问题,谷歌认为“这属于浏览器缺陷,不能由单一的网站进行有意义的缓解”。

消息出处:八哥的冒泡

昵称
邮箱
网址
Dream的头像 2016-09-27 09:29

这个还不知道,谢谢博主 shamea_org.gif

晨旭~的头像 2016-10-19 21:52
mokeyjay的头像 2016-10-19 22:54
mokeyjay 博主

还真是……

卢松松博客的头像 2016-09-16 11:55

新窗口打开

流量营销活动模板的头像 2016-08-30 15:41

不管了,反正我们那破网站也不会有人攻击的还是很感谢啦

admin的头像 2016-08-30 02:17

博主,你用的哪个编辑器?

mokeyjay的头像 2016-08-30 09:15
mokeyjay 博主

Markdown