我看到人们建议,每当target="_blank"在链接中使用以在不同的窗口中打开它时,他们应该将rel="noopener noreferrer". 例如,我想知道这如何阻止我在 Chrome 中使用开发人员工具,并删除 rel 属性。然后点击链接…
target="_blank"
rel="noopener noreferrer"
这是保持漏洞的简单方法吗?
您可能误解了该漏洞。你可以在这里阅读更多相关信息:https ://www.jitbit.com/alexblog/256-targetblank— the-most-underestimated-vulnerability- ever/
从本质上讲,添加rel="noopener noreferrer"到链接可以保护您网站的用户免受您 链接 的网站可能劫持浏览器(通过流氓 JS)。
您正在询问通过开发人员工具删除该属性 - 这只会使 您 (篡改该属性的人)潜在地暴露于漏洞。
2021 年更新:rel="noopener"所有当前版本的主要浏览器现在都会自动对任何链接使用 的行为,从而target="_blank"消除此问题。在chromestatus.com上查看更多信息。
rel="noopener"