摘要:當(dāng)一個(gè)外部鏈接使用了的方式,這個(gè)外部鏈接會(huì)打開一個(gè)新的瀏覽器��。此時(shí)�,新頁面會(huì)打開,并且和原始頁面占用同一個(gè)進(jìn)程�。筆者的總結(jié)這是一篇很短的文章,主要介紹了在使用標(biāo)簽打開一個(gè)新窗口過程中的安全問題���。
本文首發(fā)于公眾號(hào): 符合預(yù)期的CoyPan本文章翻譯于:https://medium.com/front-end-weekly/prevent-sending-http-referer-headers-from-your-website-e30eecfe813a
原標(biāo)題為:Prevent Sending HTTP Referer Headers from Your Website
在一個(gè)新窗口中打開鏈接是前端開發(fā)中一個(gè)很常見的邏輯�����,它可以將用戶引導(dǎo)到一個(gè)新的域名����。我們可以用target="_blank"來實(shí)現(xiàn)這個(gè)功能���。我敢肯定,每個(gè)人都會(huì)在他的某個(gè)項(xiàng)目中使用過target="_blank�,但是我不確定是否每個(gè)人都知道這種用法的缺陷。
當(dāng)一個(gè)外部鏈接使用了target=_blank的方式���,這個(gè)外部鏈接會(huì)打開一個(gè)新的瀏覽器tab�����。此時(shí)�,新頁面會(huì)打開,并且和原始頁面占用同一個(gè)進(jìn)程���。這也意味著�����,如果這個(gè)新頁面有任何性能上的問題��,比如有一個(gè)很高的加載時(shí)間����,這也將會(huì)影響到原始頁面的表現(xiàn)����。如果你打開的是一個(gè)同域的頁面,那么你將可以在新頁面訪問到原始頁面的所有內(nèi)容��,包括document對(duì)象(window.opener.document)����。如果你打開的是一個(gè)跨域的頁面��,你雖然無法訪問到document��,但是你依然可以訪問到location對(duì)象����。
這意味著���,如果你在你的站點(diǎn)或者文章中�����,嵌入了通過新窗口打開一個(gè)新頁面的鏈接��,這個(gè)新頁面可以使用window.opener�����,在一定程度上來修改原始頁面。
可以參考這個(gè)例子:https://s.codepen.io/adamlaki/debug/dd4475e9a73052ad37d3e5f19f4bcb92
(筆者這里做了一個(gè)小gif����,方便大家看上面那個(gè)例子的效果)
我們來看看上面例子發(fā)生了什么���?當(dāng)你點(diǎn)擊了鏈接(在打開的document中),瀏覽器會(huì)打開這個(gè)頁面�。而這個(gè)頁面中運(yùn)行了一段JavaScript代碼:通過window.opener來修改原始頁面(你來自的那個(gè)頁面)。有點(diǎn)乏味但是這可能是有害的����。
那么問題來了:我們?nèi)绾巫柚惯@種情況的發(fā)生呢?在所有使用target=_blank打開新頁面的鏈接上�����,加上rel="noopener"����。
使用了rel=noopener以后,當(dāng)一個(gè)新頁面通過一個(gè)鏈接打開后�����,新頁面中的惡意JavaScript代碼將無法通過window.opener?來訪問到原始頁面���。這將保證新頁面運(yùn)行在一個(gè)多帶帶的進(jìn)程里�。
在老瀏覽器中�����,你可以使用rel=noreferrer屬性,具有同樣的效果����。但是,這樣也會(huì)阻止Refererheader被發(fā)送到新頁面����。
在上面的例子中,使用了rel="noreferrer"?����,當(dāng)一個(gè)用戶點(diǎn)擊了這個(gè)超鏈接進(jìn)入到新頁面后,新頁面拿不到referrer信息���。這將意味著���,新頁面不知道用戶是從哪里來的。
如果你通過JavaScript中的window.open打開一個(gè)頁面的話��,上文所說的都適用���,因?yàn)槟阋彩谴蜷_了一個(gè)新的窗口�。在這種情況下����,你不得不清楚掉opener對(duì)象:
var newWindow = window.open();
newWindow.opener = null;
在我看來,使用第一種解決方案(在每一個(gè)target="_blank"的鏈接中加上rel="noopener")是沒有什么明顯的壞處的�。這個(gè)問題表明,在你的網(wǎng)頁安全性中找到漏洞是多么的容易�����。
筆者的總結(jié)
這是一篇很短的文章�����,主要介紹了在使用標(biāo)簽打開一個(gè)新窗口過程中的安全問題���。新頁面中可以使用window.opener來控制原始頁面���。如果新老頁面同域,那么在新頁面中可以任意操作原始頁面��。如果是不同域�����,新頁面中依然可以通過window.opener.location,訪問到原始頁面的location對(duì)象���。
試想一下�,你在自己的a頁面中�,通過打開新窗口,跳轉(zhuǎn)到了b頁面���,此刻b頁面中有一段代碼window.opener.location = "http://c.com"�����。這是�����,a頁面就會(huì)自動(dòng)跳轉(zhuǎn)到c頁面�。如果這個(gè)c頁面是一個(gè)和a頁面長(zhǎng)得一樣的釣魚網(wǎng)站���,那么用戶可能就中招了�。
解決方法就是:在帶有target="_blank"的標(biāo)簽中�����,加上rel="noopener"屬性。如果使用window.open的方式打開頁面���,將opener對(duì)象置為空。這樣的副作用是:在某些低版本瀏覽器中����,新頁面中拿不到referer信息。
寫在后面
本文介紹了一種前端開發(fā)中容易引發(fā)安全問題的情況��,問題不大����,但是比較容易被忽略。筆者自己也是第一次接觸到這個(gè)問題 - -����。
符合預(yù)期。
歡迎關(guān)注我的公眾號(hào): 符合預(yù)期的CoyPan
這里只有干貨����,符合你的預(yù)期
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11446.html
