您的位置:首页 >科技 >正文

科技常识:a标签跳转referer漏洞

今天小编跟大家讲解下有关a标签跳转referer漏洞 ,相信小伙伴们对这个话题应该有所关注吧,小编也收集到了有关a标签跳转referer漏洞 的相关资料,希望小伙伴们看了有所帮助。

a标签打开新页面时需要添加rel="noopener noreferrer"

否则,在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以(例如 location 就不存在跨域问题)。

在 Chrome 49+,Opera 36+,打开添加了 rel=noopener 的链接, window.opener 会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性

如下:

<a href="http://www.baidu.com" target="_blank" rel="noopener noreferrer">百度</a>

在element UI中 el-link 相当于a标签

<el-table-column label="查看" prop="url" width="70"> <template slot-scope="{row}"> <el-link :href='http://www.fly63.com/article/detial/9751/row.url' :underline="false" target="_blank" rel='noopener noreferrer'> <i></i> </el-link> </template> </el-table-column>

另外,可以使用 window.open 打开页面,手动将 opener 设置为 null。

var otherWindow = window.open('http://www.baidu.com'); otherWindow.opener = null; otherWindow.location = url;

来自:https://www.cnblogs.com/ycc1/archive/2020/10/21/13851380.html

来源:爱蒂网

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。