关于a标签target_blank使用rel=noopener - 膨胀的面包

本站承诺永不接任何虚假欺骗、联盟广告、弹窗广告、病毒广告、诱导充值等影响用户体验的广告，广告屏蔽插件会影响本站部分功能，还请不要屏蔽本站广告，感谢支持！

当前位置：首页 / 正文

关于a标签target_blank使用rel=noopener2021-07-14 | 编程技术 | 2876 次阅读 | 等你评论 | 0 次点赞 | 繁体

一、为什么要使用 rel='noopener'？

先举个栗子，有以下两个页面

a.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <a href="b.html" target="_blank">da</a>
</body>
</html>

b.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <SCRIPT>window.opener.location.href ="http://google.com"</SCRIPT>
</body>
</html>

其中在 a.html 中有个超链接，点击后打开新的 tab 页，神奇的发现原 tab 页已经变成了谷歌页面。原因是使用 target=_blank 打开新的窗口时，赋予了新的窗口一些权限可以操作原 tab 页，其中 window.location 就是一个。不使用 rel=noopener 就是让用户暴露在钓鱼攻击上。

二、使用 rel=noopener

为了防止 window.opener 被滥用，在使用 targrt=_blank 时需要加上 rel=noopener

<a href="www.baidu.com" target="_blank" rel="noopener" >

三、rel=norefferrer

rel=noopener 支持 chrome49 和 opera36，不支持火狐，为了兼容需要加上 rel=noreferrer

<a href="www.baidu.com" target="_blank" rel="noopener norefferrer" >

四、eslint 提示

eslint 提示后根据文档实际尝试了一下，之前忽略的小问题居然还有这么大安全问题，网络安全不可小觑。

via:
关于 a 标签 target_blank 使用 rel=noopener - 简书
https://www.jianshu.com/p/c8319e095474

标签: html 前端安全

猜你喜欢

[JS]JS实现Web应用或网站发送浏览器Notification通知

[JS]JS实现Web应用或网站发送浏览器Notification通知今天更新了ios，发现 iOS、iPadOS 16.4 让网页应用程序也能推送通知到通知中心了，那么就来看一下如何使用 JS 通过网页发送浏览器通知吧。在开发一个 Web 应用系统或者一个网站时...

[JS]原生js仿ElementUI消息提示组件，含生命周期钩子

[JS]原生js仿ElementUI消息提示组件，含生命周期钩子仿ElementUI消息提示组件，含生命周期钩子先来看看 ElementUI 消息提示组件官网：https://element.eleme.cn/#/zh-CN/component/messag...

Typecho纯代码生成sitemap站点地图

Typecho纯代码生成sitemap站点地图想要实现 Typecho 纯代码生成 sitemap 站点地图只需要 2 步就够了。1、在博客主题目录新建 sitemap.php 页面，放入以下代码：<?php /** *HTML版网站...

Lazysizes.js图片懒加载的使用

Lazysizes.js图片懒加载的使用lazysizes 是一种快速（无垃圾），对 SEO 友好且可自动初始化的 lazyloader，用于图像（包括响应图像 picture/ srcset），iframe，脚本/小部件等。它还通过...

typecho使用文件缓存加快打开速度

typecho使用文件缓存加快打开速度typecho 是一个伪静态的博客系统，如果不使用缓存，每次打开页面都会查询数据库，访问人数多了以后服务器压力倍增。但是，typecho 是一个 php 的程序，我们可以利用 php 将实时页面...

Fail2Ban安装使用及常用配置教程

Fail2Ban安装使用及常用配置教程Fail2Ban安装使用教程因为作为一个 linux 入门级别的小白, 很多人都会把一些 web 面板(比如宝塔面板)作为自己管理 vps 的首选, 而当我一段时间登录宝塔面板之后, 有时就会看...

通用的检测到广告屏蔽插件进行弹窗提示实现方法

通用的检测到广告屏蔽插件进行弹窗提示实现方法用的 js 方法来检测，按理说所有博客都能使用，就是在打开网页的时候进行一次判断。如果发现没有加载广告代码，就会出来一个弹窗来提示浏览者将本站加到广告拦截插件的白名单里面。别喷我，个人站长经营实...

javascript | 原生JS多语言切换简单实现

javascript | 原生JS多语言切换简单实现由于项目需要实现一个前端的多语言切换，不想因为一个简单的功能就引入 jQuery，所以经过 google 编程大法摸索出一个原生 JS 就可以实现的多语言前端切换的小例子，仅供参考。<bo...

Linux下防御/减轻DDOS攻击工具DDoS deflate安装配置教程

Linux下防御/减轻DDOS攻击工具DDoS deflate安装配置教程大家都知道互联网上被 DDOS，CC 是家常便饭，在没有硬防的情况下，寻找软件代替是最直接的方法，比如用 iptables，但是 iptables 不能自动屏蔽，只能手动屏蔽，今天给大家介绍的就...

给Edge大声朗读同源的微软tts增加下载音频按钮（tampermonkey脚本）

给Edge大声朗读同源的微软tts增加下载音频按钮（tampermonkey脚本）众所周知，微软 Edge 浏览器的大声朗读功能非常好用，对于中文音色音调处理已经处于行业领先水平，而这一功能是基于微软 Azure 神经网络文本转语音技术，Edge 支持用户实时将任意网页上的文...

全面加速 GitHub，git clone 太慢的 9 种解决办法

全面加速 GitHub，git clone 太慢的 9 种解决办法GitHub 是通过 Git 进行版本控制的软件源代码托管服务平台被戏称“同性”交友平台 gayhub 2018 年 6 月 4 日，微软宣布以 75 亿美元的股票收购 GitHub

js限制button十秒内不能重复点击

js限制button十秒内不能重复点击js限制button十秒内不能重复点击 ``` var wait = 10; document.getElementById("btn").onclick = fun

关于a标签target_blank使用rel=noopener

关于a标签target_blank使用rel=noopener一、为什么要使用 `rel='noopener'`？先举个栗子，有以下两个页面 a.html ``` Document

Web 加载速度优化清单，让你的网站快上加快

Web 加载速度优化清单，让你的网站快上加快网页加载速度是衡量一个网页好坏的重要标准，网页遗弃率随网页加载时间的增加而增加。据说近一半的用户希望网页加载时间不超过 2s，超过 3s 一般就放弃该网页。时间就是生命，干等着，谁愿意平白无故地 +1

Linux服务器发动（DDOS）CC测试脚本

Linux服务器发动（DDOS）CC测试脚本![wTLm6g.jpg](https://s1.ax1x.com/2020/09/20/wTLm6g.jpg) 本脚本仅供测试使用！！不要作死！！请勿用于非法用途！！！首先我们先使用 Linu