1. noopener 如果你需要用 a 标签打开一个标签页时,你会使用 target='_blank' 这个属性,此时你需要添加 rel='noreferrer noopener' 当你使用 target='_blank' 打开一个新的标签页时,新页面的 window 对象上有一个属性 opener,它指向的是前一个页面的 window 对象,因此,后一个页面就获得了前一个页面的控制权,so 可怕!! 比如的 a 标签是这样 <a href="/index" target=&q…

参考网址 https://mathiasbynens.github.io/rel-noopener/ 例子 <a href="https://cli.vuejs.org" target="_blank" rel="noopener">vue-cli documentation</a>. target="_blank"会打开一个新tab,如果不加rel="noopener",那么在新t…

当你浏览一个页面点击一个a标签链接跳转到另一个页面时, <a href="http://www.baidu.com" target="_blank">百度</a> 1 <a href="http://www.baidu.com" target="_blank">百度</a> 在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源…

前言 这是我观看了<前端漏洞分析及处理-蔡慧芨>公开课之后的一个总结及简单实践体会.在可能的情况下我会把他们都实际操作一遍,更加深刻地体会前端安全的重要性. web安全问题有哪些 XSS-跨站脚本攻击(全称Cross SiteScript) CSRF-跨站伪造请求(Cross Site Request Forgery) SSRF-服务器伪造请求(Server-Side Request Forgery) hijack-劫持 XSS-跨站脚本攻击 概念 全称是跨站脚本攻击(Cross SiteSc…

当您的页面链接至使用 target="_blank" 的另一个页面时,新页面将与您的页面在同一个进程上运行. 如果新页面正在执行开销极大的 JavaScript,您的页面性能可能会受影响. 此外,target="_blank" 也是一个安全漏洞.新的页面可以通过 window.opener 访问您的窗口对象,并且它可以使用 window.opener.location = newURL 将您的页面导航至不同的网址. 单击下面的一个链接,打开一个需要大量JavaScr…

web安全问题 cookie 1.cookies只能设置过期 不能删除 <script> now.toGMTString() => 事件可以用来设置cookie document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx") </script> 2.Cookies-登录用户凭证 用户ID 用户ID + 签名 3.xss和cookies xss可能偷取cookies http-only的cookie不会被偷 4…

web安全问题 csrf <script> document.write(` <form name="commentForm" target="csrf" method="post" action="http://localhost:1521/post/addComment"> <input name="postId" type="hidden" value…

看vue-element-admin的源码的时候,看到a 标签使用  rel=noopener: 然后就很奇怪这个是干什么用的:然后百度到一篇文章,涨知识了. 个人的理解是:不加 rel=noopener 的 a 标签的链接,打开后可以获取到当前的window ,可能到导致一些非法操作.详情见此文章. 对此,我们应该对一些外链添加此属性.…

It is a good pratice to add ref="noopener" <a href="/some/domain" target="_blank" rel="noopener" /> Because when the new page is opened, in the new page can redriect parent page to another url, which contains…

rel= "noopener" <a href= "https://www.xiaogezi.cn/" target= "_blank" rel= "noopener"> xiaogezi </a>…