1. noopener 如果你需要用 a 标签打开一个标签页时,你会使用 target='_blank' 这个属性,此时你需要添加 rel='noreferrer noopener' 当你使用 target='_blank' 打开一个新的标签页时,新页面的 window 对象上有一个属性 opener,它指向的是前一个页面的 window 对象,因此,后一个页面就获得了前一个页面的控制权,so 可怕!! 比如的 a 标签是这样 <a href="/index" target=&q…

参考网址 https://mathiasbynens.github.io/rel-noopener/ 例子 <a href="https://cli.vuejs.org" target="_blank" rel="noopener">vue-cli documentation</a>. target="_blank"会打开一个新tab,如果不加rel="noopener",那么在新t…

当你浏览一个页面点击一个a标签链接跳转到另一个页面时, <a href="http://www.baidu.com" target="_blank">百度</a> 1 <a href="http://www.baidu.com" target="_blank">百度</a> 在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源…

当您的页面链接至使用 target="_blank" 的另一个页面时,新页面将与您的页面在同一个进程上运行. 如果新页面正在执行开销极大的 JavaScript,您的页面性能可能会受影响. 此外,target="_blank" 也是一个安全漏洞.新的页面可以通过 window.opener 访问您的窗口对象,并且它可以使用 window.opener.location = newURL 将您的页面导航至不同的网址. 单击下面的一个链接,打开一个需要大量JavaScr…

看vue-element-admin的源码的时候,看到a 标签使用  rel=noopener: 然后就很奇怪这个是干什么用的:然后百度到一篇文章,涨知识了. 个人的理解是:不加 rel=noopener 的 a 标签的链接,打开后可以获取到当前的window ,可能到导致一些非法操作.详情见此文章. 对此,我们应该对一些外链添加此属性.…

It is a good pratice to add ref="noopener" <a href="/some/domain" target="_blank" rel="noopener" /> Because when the new page is opened, in the new page can redriect parent page to another url, which contains…

rel= "noopener" <a href= "https://www.xiaogezi.cn/" target= "_blank" rel= "noopener"> xiaogezi </a>…

面试时遇到安全相关的一个题目 :超链接<a>标签带有target=“_blank”属性的,容易被利用进行诸如钓鱼等攻击,请问如何在书写代码时进行防范?(谷歌和火狐环境). 自己看到这道题目的时候完全是懵逼的,关于web安全,只知道常见的XSS和CSRF,这个真是没听过,知识范围太窄了,呜呜呜~ 通过百度之后终于有了解决方案:给a标签添加 rel='noreferrer noopener'. 原因:当使用 target='_blank' 打开一个新的标签页时,新页面的 window 对象上有一个…

同源策略 如果两个 URL 的协议.域名和端口都相同,我们就称这两个 URL 同源. 同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作. 同源策略限制了不同源的站点读取当前站点的 Cookie.IndexDB.LocalStorage 等数据. 同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点. 解决同源策略的方法: 跨文档消息机制:可以通过 window.postMessage 的 JavaScript 接口来和不同源…

首页 博客 学院 CSDN学院 下载 论坛 APP CSDN 问答 商城 活动 VIP会员 专题 招聘 ITeye GitChat GitChat 图文课 写博客 消息 1 评论 关注 点赞 回答 系统通知1 你有一张VIP限时优惠券哦 登录注册 我的关注 我的收藏 个人中心 帐号设置 我的博客 管理博客 我的学院 我的下载 我的C币 订单中心 帮助 退出 关注和收藏在这里 原 java web项目获取src和WebContent目录下的配置文件 2017年10月11日 18:36:25 isp…

我们用极简的方式来创建服务,没有任何附加功能 1 新建一个server文件夹 2 使用npm init 或者yarn init  一路enter 3  yarn add  express cors  (express 封装了http等插件的框架, cors解决跨域) 4 在server 内新建 server.js var express = require('express') var cors = require('cors'); var app = express(); app.use(co…

前几日,在看阮一峰老师的博客文章中,发现了这么一篇 .标题为 <target = "_blank" 的危险性(英文)>.这篇文章同事看过之后因为不理解其中的危险之处,念念不忘,于是这里我们来重现一下这个漏洞. 首先做点准备: 准备两个域名 a.com b.com 分别解析到 127.0.0.1 准备好两个域名对应的http服务 chrome浏览器 正式开始 首先在a.com下 建立1.html 写入代码 <!DOCTYPE html> <html>…

Transitioning from SPDY to HTTP/2 Thursday, February 11, 2016 Last year we announced our intent to end support for the experimental protocol SPDY in favor of the standardized version, HTTP/2. HTTP/2 is the next-generation protocol for transferring in…

有关 target="_blank" 的安全缺陷 可能大家在写网页的时候经常给超链接加个属性 target="_blank",意思就是在浏览器新的窗口打开此超链接,但是大多数人应该都注意不到这个属性是有安全缺陷的. 具体说明下:比如说,当前网页中有个a标签的是 <a href="http://www.cnblogs.com/zqifa/" target="_blank"></a> 点击后跳转到的新的窗口…

博客为日常工作学习积累总结: 1.odoo12学习 参考博客:https://alanhou.org/centos-odoo-12/ CentOS 7快速安装配置 Odoo 12 添加新用户必做,不然文件权限odoo用户五权限 useradd -m -U -r -d /opt/odoo -s /bin/bash odoo设置密码:    passwd odoo 不设置执行后述操作时会报出xxx is not in the sudoers file. This incident will be r…

前言 本篇随笔的主要是复习一下常用的一些HTML(Hyper Text Markup Language)标签及其属性,并总结一些使用过程中需要注意的一些细节,本篇提及的常用标签主要有: iframe标签 a标签 form标签 input标签 table标签 1  iframe标签 iframe 元素是什么?--HTML内联框架元素 <iframe> 表示嵌套的浏览上下文,有效地将另一个HTML页面嵌入到当前页面中. iframe的主要属性:src和name. src属性的作用:嵌套页面的URL…

本文会使用一个案例,就mybatis的一些基础语法进行讲解.案例中使用到的数据库表和对象如下: article表:这个表存放的是文章的基础信息 -- ---------------------------- -- Table structure for article -- ---------------------------- DROP TABLE IF EXISTS `article`; CREATE TABLE `article` ( `article_id` ) NOT NULL AU…

html <el-button type="danger" @click="exportRs">导出Excel报表</el-button> js exportRs(){ var param = {}; // 参数 let url = '接口地址'; axios.post(url, param, {responseType: 'blob'}) .then(function (response) { var data = response.dat…

In this blog we will go over the Full Text Search capabilities available in the latest major release of Neo4j. Contrary to our usual blogs, the content will rather focus on the underlying search engine used by Neo4j, that is Apache Lucene in version…

前言 国内一些免费的博客平台比如CSDN.博客园都已经很成熟,功能齐全,已经可以满足我们的需求,帮助我们记录学习过程遇到的问题,还能分享帮助其他人解决问题.为什么还要自己动手去搭建博客呢?首先写博客是对自己学习经历的一种总结,其次搭建个人博客,是对自己独立思考能力.动手能力的提升,通过大量的百度Google以及查看官方API解决问题,会瞬间觉得整个人心情都好了.最后奉上我的真实感受,搭博客不管你是否爱学习,喜欢新事物,一定要有一颗抗折腾的心~~~ Hexo安装 Hexo简介 Hexo 是一个快速…

前言 忽略我这个中文式英语的标题. 身为一个记性不咋地的前端渣渣,觉得平时看的一些文章太散了,特开此文作为一种记录,可谓好记性不如烂笔头,也算是逼自己要经常学习.文章的日期为最后更新时间,题目顺序不分先后,希望能经常保持置顶状态,目录到达一定长度时会重开一篇. 工具 hexo迁移 因为我的笔记本电脑最近瓦特了,所以不得不把博客迁出来,在这里做个记录,方便下次查找. 将原来的电脑上原有的hexo目录拷贝到新电脑,只需拷贝以下目录: _config.yml package.json scaffold…

今天给大家分享一个 Web 知识点.如果你有过一段时间的 Web 开发经验,可能已经知道了.不过对于刚接触的新手来说,还是有必要了解一下的. 我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性. <a href="http://kaysonli.com/" target="_blank">1024译站</a> 顺便提下一个有意思的现象,很早之…

聊一聊 15.5K 的 FileSaver,是如何工作的? FileSaver.js 是在客户端保存文件的解决方案,非常适合在客户端上生成文件的 Web 应用程序.它简单易用且兼容大多数浏览器,被作为项目依赖应用在 6.3 万的项目中.在近期的项目中,阿宝哥再一次使用到了它,所以就想写篇文章来聊一聊这个优秀的开源项目. 个人公众号:Java架构师联盟,每日更新技术好文 一.FileSaver.js 简介 FileSaver.js 是 HTML5 的 saveAs() FileSaver 实现.它…

I ️ W3C : Secure Contexts Secure Contexts W3C Candidate Recommendation, 15 September 2016 https://www.w3.org/TR/secure-contexts/ 1 1 This version: https://www.w3.org/TR/2016/CR-secure-contexts-20160915/ Latest published version: https://www.w3.org/TR…

styled-components all in one CSS in JS https://www.styled-components.com/ https://github.com/styled-components # install $ yarn add styled-components $ npm i -S styled-components import styled from 'styled-components' // const Button = styled.button`…

在理想的情况中,您可以先了解所有有关 JavaScript 和 web 开发的知识,然后再深入了解React. 但是,我们没有办法这样,如果等你把所有 JavaScript 的知识都掌握了再去学习 React,就会浪费很多时间. 如果您已经有一些使用 JavaScript 的经验,那么在 学习 React 之前您需要学习的只是能够实际应用于开发 React 应用程序的 JavaScript 知识.那些掌握下面这些 JavaScript 知识点,就足够你去学习 React. ES6的类 声明变量…

最近将chrome更新到最新的版本,然后发现以前可以正常使用的功能无法使用了,经过分析后发现是浏览器新版本才出现的问题,今天记录以下. 一.遇到的问题 我们具体的问题场景,在A页面中需要打开B页面,同时需要在两个页面之间共享一些数据: 在A页面中我们将共享的数据保存到sessionStorage中,并新建超链接元素并触发其单击事件. sessionStorage.setItem('parameter', JSON.stringify(parameter)); var link = angular…

HTML标签 2020-09-08  15:37:37  by冲冲 1. 标签 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>标签示例</title> </head> <body> <h1>标题 1</h1> <h2>标题 2</h2> <h3>标题 3<…

其他章节请看: 七天接手react项目 系列 react 脚手架创建项目 前面我们一直通过 script 的方式学习 react 基础知识,而真实项目通常是基于脚手架进行开发. 本篇首先通过 react 脚手架创建项目,分析其目录结构,接着编写第一个组件.解决样式覆盖,最后配置代理 proxy 以及通过消息发布与订阅解决兄弟组件之间的通信问题. Tip:我们要接手的 react 项目是:spug_web. 使用 react 脚手架创建项目 react-cli-demo 前面我们学习 vue 脚手…

准备: 攻击机:虚拟机kali.本机win10. 靶机:NAPPING: 1.0.1,地址我这里设置的桥接,,下载地址:https://download.vulnhub.com/napping/napping-1.0.1.ova.torrent,下载后直接VirtualBox打开,如果使用vm打开可能会存在ip问题. 涉及的知识点:vim提权.Tabnabbing漏洞利用.shell反弹. 信息收集: 先扫描以下网段内的主机ip,获取下靶机的ip地址:nmap 192.168.1.0/24. 使…