黑帽來源頁劫持代碼以及如何防範
今天在羣裏看到一個朋友的企業站點的 友鏈目標站點 被篡改後,點擊友鏈目標站點致使當前頁面被劫持了的問題,而後在網上搜索了一下。瀏覽器
總結以下:
默認狀況下當在頁面中打開新頁面的時候,新的瀏覽上下文會對來源頁窗口有控制權限 window.opener ,經過該屬性能夠實現跳轉來源頁窗口的地址。oop
A頁面代碼:code
<a href="B頁面地址" target="_blank" >連接</a>
B頁面代碼:blog
if (window.opener) {
window.opener.location = "https://www.cnblogs.com/dykimy";
}
當用戶從A頁面跳轉到B頁面的時候,A頁面將會自動跳轉到 https://www.cnblogs.com/dykimy 這就實現了某些黑帽的目的。文檔
如何應對這種流氓的B頁面呢?
只須要將A頁面代碼改成以下便可get
<a href="B頁面地址" target="_blank" rel="noopener">連接</a>
noopener 做用:指示瀏覽器打開連接而不授予新的瀏覽上下文對打開它的文檔的訪問權限-經過在打開的窗口中不設置 window.opener 屬性(返回 null )。it
參考網址(HTML 連接類型):https://developer.mozilla.org/zh-CN/docs/Web/HTML/Link_types
參考網址(stackoverflow相關問題討論):https://stackoverflow.com/questions/50709625/link-with-target-blank-and-rel-noopener-noreferrer-still-vulnerable/50709760io
相關文章
- 1. 防範點擊劫持
- 2. GSM劫持+短信嗅探是什麼,如何防範指南
- 3. 什麼是流量劫持,如何防止流量劫持?
- 4. 網絡劫持http劫持防範手段
- 5. 防範技巧:如何防範你的個人網站被黑
- 6. 網站如何防劫持,網站如何防劫持的具體操做方法詳解
- 7. 如何調試Javascript代碼以及網頁代碼
- 8. 本地主機DNS劫持演示及防範
- 9. http網絡劫持與DNS劫持原理及預防
- 10. jsonp 劫持 & 防禦
- 更多相關文章...
- • XSD 如何使用? - XML Schema 教程
- • Markdown 代碼 - Markdown 教程
- • IntelliJ IDEA代碼格式化設置
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章