Mozilla Developer Network documentation for the target
attribute of HTML <a>
element says:
注意:使用
target
时,请考虑添加rel="noopener noreferrer"
以避免利用window.opener
API。
短语exploitation of the window.opener API
是什么意思?
答案 0 :(得分:3)
只需查看此链接(Refer),此示例就是对window.opener API的一个很好的示例利用。
这与安全漏洞有关。 target="_blank"
漏洞非常普遍。
rel="noopener"
属性
target="_blank"
。 但是,Firefox不支持该标记,所以你
应该实际使用rel="noopener noreferrer"
进行全面覆盖。 window.opener API
来攻击打开窗口的窗口。