欢迎光临
我的个人博客网站

a标签跳转referer漏洞

a标签打开新页面时需要添加  rel=”noopener noreferrer” 

否则,在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以(例如 location 就不存在跨域问题)。

在 Chrome 49+,Opera 36+,打开添加了 rel=noopener 的链接, window.opener 会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性

如下:

<a href="http://www.baidu.com" target="_blank" rel="noopener noreferrer">百度</a>

 

 

在element UI中 el-link 相当于a标签

                 <el-table-column label="查看" prop="url" width="70">                     <template slot-scope="{row}">                       <el-link :href='row.url'                         :underline="false"                         target="_blank"                         rel='noopener noreferrer'                       >                         <i class="el-icon-view el-icon--right"></i>                       </el-link>                     </template>                   </el-table-column>

 

 

另外,可以使用 window.open 打开页面,手动将 opener 设置为 null。

var otherWindow = window.open('http://www.baidu.com'); otherWindow.opener = null; otherWindow.location = url;

 

 

参考:

https://blog.csdn.net/huolang110/article/details/80905596

https://element.eleme.cn/#/zh-CN/component/link

 

赞(0) 打赏
未经允许不得转载:张拓的天空 » a标签跳转referer漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

专业的IT技术经验分享 更专业 更方便

联系我们本站主机

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏