HTML <a> element: What is meant by the exploitation of the window.opener API?

时间:2017-01-25 02:53:46

标签: javascript html hyperlink

Mozilla Developer Network documentation for the target attribute of HTML <a> element says

  

注意:使用target时,请考虑添加rel="noopener noreferrer"以避免利用window.opener API。

短语exploitation of the window.opener API是什么意思?

1 个答案:

答案 0 :(得分:3)

只需查看此链接(Refer),此示例就是对window.opener API的一个很好的示例利用。

这与安全漏洞有关。 target="_blank"漏洞非常普遍。

  • 要防止页面滥用window.opener,请使用rel = noopener。
  • 为了限制window.opener访问的行为,原来的 页面需要为任何链接添加rel="noopener"属性 target="_blank" 但是,Firefox不支持该标记,所以你 应该实际使用rel="noopener noreferrer"进行全面覆盖。
在您打开的新窗口中使用

window.opener API来攻击打开窗口的窗口。

相关问题
最新问题