前端开发过程中我们经常会用到<a target="_blank">标签来打开新的窗口
这是很常见的操作,大部分人也是这么做的
但是其中是有很大的安全漏洞的
举例说明
a.html
代码语言:javascript
复制
<html>
<body>
<a href='b.html' target="blank">点击跳转b页面</a>
</body>
</html>b.html
代码语言:javascript
复制
<html>
<script type="text/javascript">
window.opener.location = 'http://www.baidu.com'
</script>
</html>PS:window.opener 返回的是创建当前窗口的那个父窗口的引用
把这两个页面放在桌面上,先运行a页面,当打开b的时候,我们可以发现,此时a页面已经跳转到百度了
设想一下,假如我在b页面 js中写入的网站是和a页面一模一样的钓鱼网站呢,是不是有可能造成非常严重的后果!!!!
所以我们以后在使用a标签的时候 切记加上 rel="noopener"属性!!!!不使用 rel=noopener就是让用户暴露在钓鱼攻击上!!!!
