小编典典

与 target="_blank" 和 rel="noopener noreferrer" 的链接仍然容易受到攻击?

all

我看到人们建议,每当target="_blank"在链接中使用以在不同的窗口中打开它时,他们应该将rel="noopener noreferrer". 例如,我想知道这如何阻止我在 Chrome 中使用开发人员工具,并删除 rel 属性。然后点击链接…

这是保持漏洞的简单方法吗?


阅读 85

收藏
2022-06-29

共1个答案

小编典典

您可能误解了该漏洞。你可以在这里阅读更多相关信息:https ://www.jitbit.com/alexblog/256-targetblank—
the-most-underestimated-vulnerability-
ever/

从本质上讲,添加rel="noopener noreferrer"到链接可以保护您网站的用户免受您 链接 的网站可能劫持浏览器(通过流氓 JS)。

您正在询问通过开发人员工具删除该属性 - 这只会使 (篡改该属性的人)潜在地暴露于漏洞。

2021 年更新:rel="noopener"所有当前版本的主要浏览器现在都会自动对任何链接使用
的行为,从而target="_blank"消除此问题。在chromestatus.com上查看更多信息。

2022-06-29