html - 与 target="_blank" 和 rel="noopener noreferrer" 的链接仍然容易受到攻击?
问题描述
我看到人们建议,每当target="_blank"
在链接中使用以在不同的窗口中打开它时,他们应该将rel="noopener noreferrer"
. 例如,我想知道这如何阻止我在 Chrome 中使用开发人员工具,并删除 rel 属性。然后点击链接...
这是保持漏洞的简单方法吗?
解决方案
您可能误解了该漏洞。你可以在这里阅读更多相关信息:https ://www.jitbit.com/alexblog/256-targetblank---the-most-underestimated-vulnerability-ever/
从本质上讲,添加rel="noopener noreferrer"
到链接可以保护您网站的用户免受您链接的网站可能劫持浏览器(通过流氓 JS)。
您正在询问通过开发人员工具删除该属性 - 这只会使您(篡改该属性的人)潜在地暴露于漏洞。
2021 年更新:rel="noopener"
所有当前版本的主要浏览器现在都会自动对任何链接使用 的行为,从而target="_blank"
消除此问题。在chromestatus.com上查看更多信息。
推荐阅读
- xml - 我需要在 XML 中获取标签
- django - 在 AWS EC2 服务器上设置 letencrypt 证书
- deep-learning - 使用主干架构和迁移学习有什么区别?
- javascript - 如何在多个网格行上溢出时进行单个滚动滚动
- python - Python:使用@patch 在方法内模拟类的实例
- hadoop - 来自 HDFS 目录中的两个文件的 Hadoop 上的两个单独的表
- python - 带有 JSON 定位器类的参考文件
- c# - Xamarin / SQLite:数据库中的更新双打
- rxjs - 为什么这个使用 concat-operator 的小 rxjs-code-snippet 会抛出错误?
- spring - Log4j2 未从 EAR 中的外部类路径加载