HTML a标签打开新标签页避免出现安全漏洞,请使用“noopener”

头像
杭州程序员张张
    阅读 3 分钟
    12

    新标签页中打开一个网址如何出现安全漏洞

    让我们在网站上的新标签页中打开一个网址,HTML如下

    <a href="https://malicious-domain.netlify.com" target="_blank">
  访问恶意网站!
</a>

    这里我们有一个指向恶意网站的 href 属性,并以 _blank 属性为 target,使其在新标签页中打开。

    该流程看起来如此简单明了,用户在这里可能面临的安全风险是什么?

    用户从你的页面重定向到域,此时,浏览器会将你当前网站的所有 window 变量内容附加到恶意网站的 window.opener 变量。现在恶意网站可以访问你网站的 window,这显然在重定向此方法时打开了一个安全漏洞

    恶意网站一旦通过 window.opener 访问了你的网站的 window 变量,它可以将你之前的网站重定向到一个新的钓鱼网站,这个网站可能与你打开的实际网站相似,甚至可能会要求你再次登录。

    在恶意网站中,只需编写以下代码即可完成上述修改

    if (window.opener) {
  window.opener.location = 'https://www.dhilipkmr.dev';
}

    因此,无辜用户将陷入此陷阱,并提供可能暴露给攻击者的登录详细信息。

    我们如何避免这种情况?

    一种简单的方法是将带有 noopenerrel 属性添加到 <a> 标记。

    <a href="https://malicious-domain.netlify.com" rel="noopener" target="_blank">
  访问恶意网站!
</a>

    它有什么作用?

    rel = "noopener" 表示浏览器不要将当前网站的 window 变量附加到新打开的恶意网站。

    这使得恶意网站的 window.opener 的值为 null

    因此,在将用户导航到你未维护的新域时,请当心。

    并非总是我们用标签打开一个新标签,在某些情况下,你必须通过执行javascript的 window.open() 来打开它,如下所示:

    function openInNewTab() {
  // 一些代码
  window.open('https://malicious-domain.netlify.com');
}
    <span class="link" onclick="openInNewTab()">访问恶意网站!</span>

    这里没有提及 noopener,因此这导致当前网站的 window 传递到恶意网站。

    通过js打开新标签页时,该如何处理?

    function openInNewTabWithoutOpener() {
   var newTab = window.open();
   newTab.opener = null;
   newTab.location='https://malicious-domain.netlify.com';
 }
    <span class="link" onclick="openInNewTabWithoutOpener()">访问恶意网站!</span>

    我们已经通过 window.open() 打开了一个虚拟标签,该标签打开了 about:blank,因此这意味着它尚未重定向到恶意网站。

    然后,我们将新标签的 opener 值修改为 null

    将我们将新标签的网址修改为恶意网站的网址。

    这次,opener 再次为空,因此它无法访问第一个网站的 window 变量。

    问题解决了。

    但是在旧版本的Safari中将无法使用此方法,因此我们再次遇到问题。

    如何解决Safari的问题?

    function openInNewTabWithNoopener() {
  const aTag = document.createElement('a');
  aTag.rel = 'noopener';
  aTag.target = "_blank";
  aTag.href = 'https://malicious-domain.netlify.com';
  aTag.click();
}
    <span class="link" onclick="openInNewTabWithoutOpener()">访问恶意网站!</span>

    在这里,我们模拟点击锚标记。

    • 我们创建 <a> 标记并分配所需的属性,然后在其上执行 click(),其行为与单击链接相同。
    • 不要忘记在此处向标签添加 rel 属性。

    其他事实:

    • 当您在锚标记上单击 CMD + LINK 时,Chrome,Firefox和Safari会将恶意网站的 window.opener 视为 null
    • 但是,在通过JavaScript处理新标签页打开的元素上的 CMD + LINK 上,浏览器将附加窗口变量并将其发送到新标签页。
    • 默认情况下,新版的Safari会在所有情况下删除 window.opener,要将窗口信息传递给新的标签页,你必须明确指定 rel='opener'

    没有人可以绕过你的"保安"。

    文章首发《前端外文精选》微信公众号

    subscribe2.png

    继续阅读其他高赞文章

    前端html5前端安全
    杭州程序员张张
    11.8k 声望6.7k 粉丝

    Web/Flutter/独立开发者/铲屎官

    « 上一篇
    关于创建React App的8个有趣事实
    下一篇 »
    Vue 3教程(适用于Vue 2用户)

    引用和评论

    推荐阅读
    头像
    我用 Flutter、React Native 和 Ionic 构建了相同的应用程序

    杭州程序员张张阅读 1.2k

    头像
    CSS团队协作规范

    寒青36阅读 3.8k

    头像
    100个React最佳实践小技巧

    夕水17阅读 2.5k评论 4

    头像
    不使用 JS 纯 CSS 获取屏幕宽高

    南城FE15阅读 2.1k评论 3

    头像
    前端开发工具

    寒青15阅读 4.7k

    头像
    开发插件集合

    寒青12阅读 3.1k

    头像
    CSS 现在终于支持高度 auto 过渡动画了

    XboxYan12阅读 2.4k

    0 条评论
    得票最新