当目标是自定义帧名时是否需要 rel="noreferrer"?
Is rel="noreferrer" needed when the target is a custom framename?
我明白如果我的 link 看起来像
<a href="https://externalsite.com" target="_blank">Dangerous link</a>
那是不安全的,因为目标站点随后可以访问我站点的 window 对象。所以我需要添加rel="noreferrer"。如果我的 link 看起来像
<a href="https://externalsite.com" target="custom name">Is this dangerous?</a>
同样的漏洞是否仍然适用?
使用noopener,noreferrer,_blank只是打开一个未命名的window
target 属性用作 window 名称。如果您多次引用同一个目标,window 会被新的 URL.
替换
这不会解决安全问题。
这里有更多信息:https://owasp.org/www-community/attacks/Reverse_Tabnabbing
您可以尝试那篇文章中给出的示例。
先用noopener,noreferrer。但其次,不要 link 访问恶意网站
我明白如果我的 link 看起来像
<a href="https://externalsite.com" target="_blank">Dangerous link</a>
那是不安全的,因为目标站点随后可以访问我站点的 window 对象。所以我需要添加rel="noreferrer"。如果我的 link 看起来像
<a href="https://externalsite.com" target="custom name">Is this dangerous?</a>
同样的漏洞是否仍然适用?
使用noopener,noreferrer,_blank只是打开一个未命名的window
target 属性用作 window 名称。如果您多次引用同一个目标,window 会被新的 URL.
替换
这不会解决安全问题。
这里有更多信息:https://owasp.org/www-community/attacks/Reverse_Tabnabbing 您可以尝试那篇文章中给出的示例。
先用noopener,noreferrer。但其次,不要 link 访问恶意网站