2. 程式人生 > 實用技巧 >a標籤跳轉referer漏洞

a標籤跳轉referer漏洞

阿新 發佈:2020-10-21

a標籤開啟新頁面時需要新增rel="noopener noreferrer"

否則,在新開啟的頁面(http://www.baidu.com)中可以通過 window.opener 獲取到源頁面的部分控制權,即使新開啟的頁面是跨域的也照樣可以(例如 location 就不存在跨域問題)。

在 Chrome 49+,Opera 36+,開啟添加了 rel=noopener 的連結, window.opener 會為null。在老的瀏覽器中,可以使用 rel=noreferrer 禁用HTTP頭部的Referer屬性

如下:

<a href="http://www.baidu.com" target="_blank" rel="noopener noreferrer">百度</a>

在element UI中 el-link 相當於a標籤

                 <el-table-column label="檢視" prop="url" width="70">
                    <template slot-scope="{row}">
                      <el-link :href='row.url'
                        :underline="false"
                        target="_blank"
                        rel
 
='noopener noreferrer'
                      >
                        <i class="el-icon-view el-icon--right"></i>
                      </el-link>
                    </template>
                  </el-table-column>

另外,可以使用 window.open 開啟頁面,手動將 opener 設定為 null。

var otherWindow = window.open('http://www.baidu.com');
otherWindow.opener 
 
= null;
otherWindow.location = url;

參考:

https://blog.csdn.net/huolang110/article/details/80905596

https://element.eleme.cn/#/zh-CN/component/link

相關推薦

a標籤referer漏洞

a標籤開啟新頁面時需要新增rel=\"noopener noreferrer\" 否則,在新開啟的頁面(http://www.baidu.com)中可以通過 window.opener 獲取到源頁面的部分控制權,即使新開啟的頁面是跨域的也照樣可以(例如 location 就

vue 公眾號開放標籤小程式 wx-open-launch-weapp

//在main.js裡新增程式碼 Vue.config.ignoredElements = [\'wx-open-launch-weapp\'];   <template>

解決vue裡a標籤值解析變數,頁面,前面加預設域名埠的問題

如下所示: let name = \'www.baidu.com/\' <a :href=\"name\" rel=\"external nofollow\" > 點選到:

react和原生js如何禁用a標籤的href阻止連結

技術標籤:前端js 在a標籤的href有連結地址不為空的情況下,如何阻止a標籤

HTML面試題八:如何禁止a標籤預設事件,禁止預設事件之後如何實現 ??this

技術標籤:HTML面試題 文章目錄 HTML面試題八:如何禁止a標籤預設事件,禁止預設事件之後如何實現跳轉一. 如何禁止a標籤預設事件1. 改變a標籤中href屬性2. IE中用window.event.returnValue = false,其他瀏覽器

設定a標籤,實現點選頁面

設定a標籤的屬性target,下面對target屬性進行描述: 跳轉在同一個視窗 1、target=\"_self\", 它使得目標文件載入並顯示在相同的框架或者視窗中作為源文件。(此處就是實現你的每次跳轉都在同一個視窗的核心點)

JS a標籤加入單擊事件遮蔽href頁面

1、 a href=\"JavaScript:js_method();\" 這種方法在傳遞this等引數的時候很容易出問題,

<a>標籤的下載問題

a標籤連結href若有具體的檔案型別(字尾.***)可以下載;若無檔案字尾,如https://liao-video-storage.oss-cn-qingdao.aliyuncs.com/20171127141935_12513_72007_74D43522D89C_218.8.168.17,設定target為_blank後也可

Django模板標籤中url使用詳解(url到指定頁面)

django {% url %} 模板標籤使用 inclusions/_archives.html ... {% for date in date_list %} <li> <a href=\"{% url \'blog:archive\' date.year date.month %}\" rel=\"external nofollow\" >

Android WebView攔截iframe標籤內部教程

最近專案裡有個廣告位需要動態配置,後臺給了一段 html 巢狀iframe標籤的程式碼,需要Android攔截iframe內部的,自己做處理。

go語言goto語句到指定的標籤實現方法

goto 語句通過標籤進行程式碼間的無條件。goto 語句可以在快速跳出迴圈、避免重複退出上有一定的幫助。Go 語言中使用 goto 語句能簡化一些程式碼的實現過程。

a標籤阻止預設轉行為事件

a標籤有預設的點選事件,點選事件的預設行為是到href指定的某一個網址

react中介面 A介面B介面,返回A介面,A介面狀態保持不變 localStorage方法

A介面 componentDidMount() { backTop(); let localTemp = JSON.parse(localStorage.getItem(\'hotTemp\')); if (localTemp === undefined || localTemp === null) { //這邊是判斷是不是從B回來的,如果不是,就初

uni-app 迴圈列表項指定外鏈解決方案<web-view>標籤

news.vue <view class=\"list\"> <view class=\"uni-padding-wrap backWhite wauto80\" v-for=\"(item,index) in infoList\" :key=\"index\">

<meta>標籤的定時、重新整理

需求場景:一般用到的不太多,暫時遇到的只有提交的時候,到等待頁面(裡面有倒計時或者是一個圖片倒計時gif)的時候

HTML a標籤開啟新標籤頁避免出現安全漏洞,請使用“noopener”

標籤頁中開啟一個網址如何出現安全漏洞 讓我們在網站上的新標籤頁中開啟一個網址,html如下

小程式內部A頁面向內嵌H5頁面,並且傳參

小程式中A頁面程式碼JS程式碼 Page({ toPtol(e){ const id=e.currentTarget.dataset[\'id\']; const loadId=e.currentTarget.dataset[\'loadid\'];

HTML網頁中,img標籤和Ajax請求是支援(Redirect)的

我們知道在HTTP請求中,狀態碼301和302代表跳轉,也叫重定向(Redirect)。 301-Moved Permanently:永久移動。請求的資源已被永久的移動到新URI,返回資訊會包括新的URI,瀏覽器會自動定向到新URI。今後任何新的請

Vuejs學習筆記(三)-15.vue-router的基本使用-不使用router-link標籤,通過程式碼進行路由

1.可以通過程式碼的方式結合router-view來實現 1 <template> 2<div> 3 <!--<router-link to=\"/home\" tag=\"button\" replace=\"\" active-class=\"active\">首頁</router-link&g

URL漏洞

URL跳轉漏洞描述 服務端未對傳入的跳轉url變數進行檢查和控制,可導致惡意使用者構造一個惡意地址,誘導使用者跳轉到惡意網站。跳轉漏洞一般用於釣魚攻擊,通過跳轉到惡意網站欺騙使用者輸入使用者名稱和密碼來盜取