一、為什麼要使用rel='noopener'?
先舉個栗子
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<a href="b.html" target="_blank">da</a>
</body>
</html>
複製程式碼
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<SCRIPT>window.opener.location.href ="http://google.com"</SCRIPT>
</body>
</html>
複製程式碼
其中在a.html中有個超連結,點選後開啟新的tab頁,神奇的發現原tab頁已經變成了谷歌頁面。原因是使用target=_blank
開啟新的視窗時,賦予了新的視窗一些許可權可以操作原tab頁,其中window.location
就是一個。不使用 rel=noopener
就是讓使用者暴露在釣魚攻擊上。下圖為頁面的window
資訊
二、使用rel=noopener
為了防止window.opener
被濫用,在使用targrt=_blank
時需要加上rel=noopener
<a href="www.baidu.com" target="_blank" rel="noopener" >
三、rel=norefferrer
rel=noopener
支援chrome49和opera36,不支援火狐,為了相容需要加上rel=noreferrer
<a href="www.baidu.com" target="_blank" rel="noopener norefferrer" >
四、eslint提示
vscode中eslint提示
eslint提示後根據文件實際嘗試了一下,之前忽略的小問題居然還有這麼大安全問題,網路安全不可小覷。參考文章:eslint提示的官方文件