[[429950]]

我們經(jīng)常使用 HTML target="_blank" 或 window.open() 在新窗口中打開頁面。

// in html 
<a href="www.google.com" target="_blank">open google</a> 
 
// in javascript 
window.open("www.google.com") 

但是，當(dāng)新打開的頁面指向一個(gè)我們不知道的網(wǎng)站時(shí)，我們就會(huì)被暴露在釣魚網(wǎng)站的漏洞中。新頁面通過 window.opener對(duì)象獲得了對(duì)鏈接頁面的一些部分訪問權(quán)限。

例如，可以使用 window.opener.location 將初始頁面的用戶指向一個(gè)假的釣魚網(wǎng)站，該網(wǎng)站模仿原始網(wǎng)站的外觀并做各種惡心的事情。鑒于用戶信任已經(jīng)打開的頁面，這可能是非常有效的。

為了防止這種情況，我們可以:

在 HTML 中使用 rel="noopener 和 target="_blank"。

<a href="someLink.com" target="_blank" rel="noopener noreferrer"> 
    open securely in a new tab 
</a> 

在Javascript中，一定要重置 opener 屬性:

const newWindow = window.open("someLink.com"); 
newWindow.opener = null; 

后續(xù)：現(xiàn)在看來，noreferrer 是多余的，所以noopener` 對(duì)于HTML的使用應(yīng)該是足夠的。

作者：Daniel 譯者：前端小智

來源：js-craft 原文：http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/