a標籤跳轉referer漏洞
阿新 • • 發佈:2020-10-21
a標籤開啟新頁面時需要新增rel="noopener noreferrer"
否則,在新開啟的頁面(http://www.baidu.com)中可以通過 window.opener 獲取到源頁面的部分控制權,即使新開啟的頁面是跨域的也照樣可以(例如 location 就不存在跨域問題)。
在 Chrome 49+,Opera 36+,開啟添加了 rel=noopener 的連結, window.opener 會為null。在老的瀏覽器中,可以使用 rel=noreferrer 禁用HTTP頭部的Referer屬性
如下:
<a href="http://www.baidu.com" target="_blank" rel="noopener noreferrer">百度</a>
在element UI中 el-link 相當於a標籤
<el-table-column label="檢視" prop="url" width="70"> <template slot-scope="{row}"> <el-link :href='row.url' :underline="false" target="_blank" rel='noopener noreferrer' > <i class="el-icon-view el-icon--right"></i> </el-link> </template> </el-table-column>
另外,可以使用 window.open 開啟頁面,手動將 opener 設定為 null。
var otherWindow = window.open('http://www.baidu.com'); otherWindow.opener= null; otherWindow.location = url;
參考: