關於a標籤target=“_blank"使用rel=noopener

小小小芒果發表於2018-04-23

一、為什麼要使用rel='noopener'?

先舉個栗子

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <a href="b.html" target="_blank">da</a>
</body>
</html>
複製程式碼
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <SCRIPT>window.opener.location.href ="http://google.com"</SCRIPT>
</body>
</html>
複製程式碼

其中在a.html中有個超連結,點選後開啟新的tab頁,神奇的發現原tab頁已經變成了谷歌頁面。原因是使用target=_blank開啟新的視窗時,賦予了新的視窗一些許可權可以操作原tab頁,其中window.location就是一個。不使用 rel=noopener就是讓使用者暴露在釣魚攻擊上。下圖為頁面的window資訊

window.opener

二、使用rel=noopener

為了防止window.opener被濫用,在使用targrt=_blank時需要加上rel=noopener

<a href="www.baidu.com" target="_blank" rel="noopener" >

三、rel=norefferrer

rel=noopener支援chrome49和opera36,不支援火狐,為了相容需要加上rel=noreferrer

<a href="www.baidu.com" target="_blank" rel="noopener norefferrer" >

四、eslint提示

vscode中eslint提示

eslint提示
eslint提示後根據文件實際嘗試了一下,之前忽略的小問題居然還有這麼大安全問題,網路安全不可小覷。

參考文章:eslint提示的官方文件

相關文章