关于a标签target_blank使用rel=noopener - 膨胀的面包

本站承诺永不接任何虚假欺骗、联盟广告、弹窗广告、病毒广告、诱导充值等影响用户体验的广告，广告屏蔽插件会影响本站部分功能，还请不要屏蔽本站广告，感谢支持！

当前位置：首页 / 正文

关于a标签target_blank使用rel=noopener2021-07-14 | 编程技术 | 3188 次阅读 | 等你评论 | 0 次点赞 | 繁体

一、为什么要使用 rel='noopener'？

先举个栗子，有以下两个页面

a.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <a href="b.html" target="_blank">da</a>
</body>
</html>

b.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <SCRIPT>window.opener.location.href ="http://google.com"</SCRIPT>
</body>
</html>

其中在 a.html 中有个超链接，点击后打开新的 tab 页，神奇的发现原 tab 页已经变成了谷歌页面。原因是使用 target=_blank 打开新的窗口时，赋予了新的窗口一些权限可以操作原 tab 页，其中 window.location 就是一个。不使用 rel=noopener 就是让用户暴露在钓鱼攻击上。

二、使用 rel=noopener

为了防止 window.opener 被滥用，在使用 targrt=_blank 时需要加上 rel=noopener

<a href="www.baidu.com" target="_blank" rel="noopener" >

三、rel=norefferrer

rel=noopener 支持 chrome49 和 opera36，不支持火狐，为了兼容需要加上 rel=noreferrer

<a href="www.baidu.com" target="_blank" rel="noopener norefferrer" >

四、eslint 提示

eslint 提示后根据文档实际尝试了一下，之前忽略的小问题居然还有这么大安全问题，网络安全不可小觑。

via:
关于 a 标签 target_blank 使用 rel=noopener - 简书
https://www.jianshu.com/p/c8319e095474

标签: html 前端安全

猜你喜欢

[JS]JS实现Web应用或网站发送浏览器Notification通知

[JS]JS实现Web应用或网站发送浏览器Notification通知今天更新了ios，发现 iOS、iPadOS 16.4 让网页应用程序也能推送通知到通知中心了，那么就来看一下如何使用 JS 通过网页发送浏览器通知吧。在开发一个 Web 应用系统或者一个网站时...

[JS]原生js仿ElementUI消息提示组件，含生命周期钩子

[JS]原生js仿ElementUI消息提示组件，含生命周期钩子仿ElementUI消息提示组件，含生命周期钩子先来看看 ElementUI 消息提示组件官网：https://element.eleme.cn/#/zh-CN/component/messag...

Typecho纯代码生成sitemap站点地图

Typecho纯代码生成sitemap站点地图想要实现 Typecho 纯代码生成 sitemap 站点地图只需要 2 步就够了。1、在博客主题目录新建 sitemap.php 页面，放入以下代码：<?php /** *HTML版网站...

Lazysizes.js图片懒加载的使用

Lazysizes.js图片懒加载的使用lazysizes 是一种快速（无垃圾），对 SEO 友好且可自动初始化的 lazyloader，用于图像（包括响应图像 picture/ srcset），iframe，脚本/小部件等。它还通过...

typecho使用文件缓存加快打开速度

typecho使用文件缓存加快打开速度typecho 是一个伪静态的博客系统，如果不使用缓存，每次打开页面都会查询数据库，访问人数多了以后服务器压力倍增。但是，typecho 是一个 php 的程序，我们可以利用 php 将实时页面...

Fail2Ban安装使用及常用配置教程

Fail2Ban安装使用及常用配置教程Fail2Ban安装使用教程因为作为一个 linux 入门级别的小白, 很多人都会把一些 web 面板(比如宝塔面板)作为自己管理 vps 的首选, 而当我一段时间登录宝塔面板之后, 有时就会看...

通用的检测到广告屏蔽插件进行弹窗提示实现方法

通用的检测到广告屏蔽插件进行弹窗提示实现方法用的 js 方法来检测，按理说所有博客都能使用，就是在打开网页的时候进行一次判断。如果发现没有加载广告代码，就会出来一个弹窗来提示浏览者将本站加到广告拦截插件的白名单里面。别喷我，个人站长经营实...

javascript | 原生JS多语言切换简单实现

javascript | 原生JS多语言切换简单实现由于项目需要实现一个前端的多语言切换，不想因为一个简单的功能就引入 jQuery，所以经过 google 编程大法摸索出一个原生 JS 就可以实现的多语言前端切换的小例子，仅供参考。<bo...

Linux下防御/减轻DDOS攻击工具DDoS deflate安装配置教程

Linux下防御/减轻DDOS攻击工具DDoS deflate安装配置教程大家都知道互联网上被 DDOS，CC 是家常便饭，在没有硬防的情况下，寻找软件代替是最直接的方法，比如用 iptables，但是 iptables 不能自动屏蔽，只能手动屏蔽，今天给大家介绍的就...

给Edge大声朗读同源的微软tts增加下载音频按钮（tampermonkey脚本）

给Edge大声朗读同源的微软tts增加下载音频按钮（tampermonkey脚本）众所周知，微软 Edge 浏览器的大声朗读功能非常好用，对于中文音色音调处理已经处于行业领先水平，而这一功能是基于微软 Azure 神经网络文本转语音技术，Edge 支持用户实时将任意网页上的文...

分享几个免费 IP 定位 api

分享几个免费 IP 定位 api在做定位的朋友，如果只是单纯的想获取地址而又不想集成高德等第三方 sdk，可以试试以下地址： ``` https://ip.seeip.org/geoip https://ip.seeip.or

windows10 安装 ElasticSearch

windows10 安装 ElasticSearch![](https://proxy.wangtwothree.com/proxy/i.imgur.com/FfW6pWR.png) # 简介 Elasticsearch 是一个分布式的 RESTf

JavaScript + imgur API 上传图片

JavaScript + imgur API 上传图片![](https://proxy.wangtwothree.com/proxy/i.imgur.com/jgGhE5d.jpg) 上图如无法正常显示则以下方法可能已失效！大致比较了一下，支

DDOS-DEFLATE: 简单解决VPS被DDOS/CC攻击

DDOS-DEFLATE: 简单解决VPS被DDOS/CC攻击![](https://proxy.wangtwothree.com/proxy/i.imgur.com/U89bU9q.jpg) DDOS DEFLATE 是一个轻量级的 bash shell

Pycharm 专业版配置自动同步代码至服务器

Pycharm 专业版配置自动同步代码至服务器每次在本机上面写代码，然后传到服务器上面，在服务器上面运行，这样的方式十分繁琐，效率很低，使用下方配置后可实现本地编辑代码保存自动同步到服务器。 # 使用场景先说说自己的使用场景，我是在什么