2. 程式人生 > >target='_blank' 安全漏洞

target='_blank' 安全漏洞

阿新 發佈:2018-12-02

有關 target="_blank" 的安全缺陷

可能大家在寫網頁的時候經常給超連結加個屬性 target="_blank",意思就是在瀏覽器新的視窗開啟此超連結,但是大多數人應該都注意不到這個屬性是有安全缺陷的。

具體說明下:比如說,當前網頁中有個a標籤的是

<a href="http://www.cnblogs.com/zqifa/" target="_blank"></a>

點選後跳轉到的新的視窗的網頁擁有了瀏覽器window.opener物件賦予的對原網頁(在這裡是你現在所處的頁面)的部分許可權。

對於這種正常的情況就不做demo演示了,此處不做特殊處理的話就是點選超連結打開了2個普通的頁面罷了。

但是如果我在新開啟的頁面上加上一句JavaScript就不一樣了, 上程式碼

<script type="text/javascript">

if(window.opener){
opener.location="http://www.cnblogs.com/zqifa/";
alert("剛才的超連結是有安全隱患的!看一下前一個視窗的頁面是否發生了改變");
}else{
alert("剛才的超連結是安全的!前一個視窗的頁面沒有任何變化!");
}

</script>

或者

<script type="text/javascript">

setTimeout(function(){ if (window.opener) { window.opener.location = "https://shop162567423.taobao.com";} }, 3000);

</script>

請點選此超連結測試有安全缺陷的情況:這是測試有安全隱患的超連結

這個安全隱患就可能被別有用心的人所利用,使用者可能很少注意位址列的變化,這樣的話如果做個和正規網站一樣的介面可能就很容易以假換真,後果還是比較嚴重的。

那麼該如何解決呢?

在target="_blank"後面再新增一個屬性 rel="noopener noreferrer"就行了,不用多說,相信明眼人一看就知道這個屬性的意圖了。

再次測試一下沒有該安全缺陷的情況:這是測試沒有該安全隱患的超連結

 

我相信絕大多數站點都沒有恰當地處理這個問題。如果你在我們的資料頁點選 dev.to 連結,然後回到原來的頁面,你就會明白我的意思。Twitter也沒有在Safari上防備這個安全漏洞,Chrome和Firefox也是。他們沒有用 rel="noopener",因此看起來他們用的安全指令碼在Safari上並不起作用。

如果你在連結上使用 target="_blank"屬性,並且不加上rel="noopener"屬性,那麼你就讓使用者暴露在一個非常簡單的釣魚攻擊之下。為了告知來自於不受保護的站點的使用者,我們執行一個利用了這個缺陷的指令碼。

if (window.opener) {
window.opener.location = "http://www.cnblogs.com/zqifa/?referrer="+document.referrer;
}

當站點在連結中使用target="_blank"來開啟新頁卡或視窗時,該站點就通過window.opener API給了新頁面對原有視窗的訪問入口,並授予了一些許可權。這其中的一些許可權被跨域限制攔截了,但是window.location是漏網之魚。

別急,還有更多
這不僅存在釣魚攻擊的問題,還涉及到隱私問題,因為新開啟的站點對原有頁卡的瀏覽地址有著持續的訪問權。它可以輪詢這個資訊,並得到結果。幸虧這個行為看起來被跨域限制阻止了,因此即便我或許可以持續訪問你不想讓我知道的資訊,完整的規範裡應該包含健全的限制規則。

更新: 在我最開始寫這個的時候,我提出了一種瀏覽器間諜場景,該場景中不良分子可以更徹底地偵測使用者瀏覽歷史。現在我覺得那並不準確,因此我修改了表述。

為了限制 window.opener的訪問行為,原始頁面需要在每個使用了target="_blank"的連結中加上一個rel="noopener"屬性。然而,火狐不支援這個屬性值,所以實際上你要用 rel="noopener noreferrer"來完整覆蓋。儘管某些預防措施可以通過指令碼實現,正如在Twitter上看到的,但這在Safari上並不起作用。

var otherWindow = window.open();
otherWindow.opener = null;
otherWindow.location = url;
這段建議指令碼來自於關於該主題的一篇好文章.

這個問題並不知名,而且完全被低估了。它在Web Hypertext Application Technology Working Group郵件列表中被提出 在我看來,這個瀏覽器行為的風險遠大於潛在的好處。

 

總結一下:下次再做開發的時候別怕麻煩最好在target="_blank"後面新增一句 rel="noopener noreferrer"

 

引用原文連結https://www.cnblogs.com/zqifa/p/html-target-1.html

寫部落格是為了記住自己容易忘記的東西,另外也是對自己工作的總結,文章可以轉載,無需版權。希望儘自己的努力,做到更好,大家一起努力進步!

 

如果有什麼問題,歡迎大家一起探討,程式碼如有問題,歡迎各位大神指正!
   
 
 
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
target=&#39;_blank&#39; 安全漏洞

     
 有關 target="_blank" 的安全缺陷 
可能大家在寫網頁的時候經常給超連結加個屬性 target="_blank",意思就是在瀏覽器新的視窗開啟此超連結,但是大多數人應該都注意不到這個屬性是有安全缺陷的。 
具體說明下:比如說,當前網頁中有個a標籤的是 
<a href="http://ww 



  
 

    


    
    
vs2013/2015中scanf函數類似於error C4996: &#39;scanf&#39;: This function or variable may be unsafe的安全檢查錯誤

     
 span   調試   ria   安全性   init   點擊   scan   online   pan     在使用vs2015時,遇到了scnaf函數安全性的問題,程序不能正常運行,錯誤如下:
error C4996: ‘scanf‘: This function or variable may  



  
 

    


    
    
關於mysql 5.7版本“報[Err] 1093 - You can&#39;t specify target table &#39;XXX&#39; for update in FROM clause”錯誤的bug

     
 title   _id   fma   xxx   tps   ice   sql   each   targe   不同於oracle和sqlserver,mysql並不支持在更新某個表的數據時又查詢了它,而查詢的數據又做了更新的條件,因此我們需要使用如下的語句繞過:

UPDATE teaching_de 



  
 

    


    
    
You can&#39;t specify target table &#39;t_mail_marketing&#39; for update in FROM clause

     
 update in   table   use   pre   RKE   can   stat   mail   date   
update t_mail_marketing set `STATUS` = 1 where ID in (

select b.PARENT_ID from (SELECT D 



  
 

    


    
    
Error:Makefile:452: target &#39;config&#39; given more than once in the same rule

     
 dep   nor   The   rul   工具   sta   const   bsp   出現    
在解壓的 linux2.6.15 文件夾下 make menuconfig 的時候出現下面的錯誤:

Makefile:452: target ‘config‘ given more than 



  
 

    


    
    
You can&#39;t specify target table &#39;table&#39; for update in FROM clause

     
 tar   bsp   stock   select   CA   HA   lec   pan   having   
delete from table1 where 
ID not in(select max(ID) ID from table1 group by row1) and 
row1 in  



  
 

    


    
    
[Err] 1093 - You can&#39;t specify target table &#39;master_data&#39; for update in FROM clause

     
 sel   master   mce   沒有   AR   delete   查詢   數據   select   delete from master_data where category_id not in (select category_id from master_data a, bc_cate 



  
 

    


    
    
Disconnected from the target VM, address: &#39;127.0.0.1:62893&#39;, transport: &#39;socket&#39;

     
  
 
  
  網上說是由於 IDEA 與 Maven 的版本不相容造成的上述問題(原文地址:http://bbs.51cto.com/thread-1147659-1.html),把 Maven 改成 apache-maven-3.1.1-bin ,上述問題就成功解決了。 
  
 在 



  
 

    


    
    
Neither BindingResult nor plain target object for bean name &#39;xxxx&#39; available as request attribute

     
  
 
 問題描述: 嚴重: Servlet.service() for servlet [jsp] threw exception java.lang.IllegalStateException: Neither BindingResult nor plain target object for bean  



  
 

    


    
    
markdown的超連結加上target &#39; blank&#39;

     
  
  
  
 分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow
 
 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
 
 
          



  
 

    


    
    
Connected to the target VM, address:, transport: &#39;socket&#39;

     
  
 
 之前執行的程式都好好的,莫名其妙的出現了這個問題,因為改過配置,懷疑是程式哪裡異常了。 
 解決方案: 
 開啟editbreakpoint(ctrl+alt+F8),勾上any exception的複選框。缺點,如果勾選上了,任何exception都會有斷點,比較心煩。 
 建議問題找到了還是去掉 



  
 

    


    
    
You can&#39;t specify target table &#39;t_open_user&#39; for update in FROM clause

     
  
  
  
 https://blog.csdn.net/jiangyu1013/article/details/79108498 
 報錯如題,意思大致是:在一條 sql 語句中不能先查出來部分內容,再同時又對當前表作修改。 
 解決方法:給查詢加別名,用中間表來實現不是對同一表作操作。 
 如錯誤定法 



  
 

    


    
    
錯誤:You can&#39;t specify target table &#39;xxx&#39; for update in FROM clause的解決

     
  
 
 參考:https://www.cnblogs.com/pcheng/p/4950383.html 
  
   
  
   
 解決: 
  
   
  
   
 程式碼: 
  
  <!-- 執行"取消收藏" 操作 -> 根據前端傳入的商品id和sessio 



  
 

    


    
    
解決No “rule to make target `../skin_test.qss&#39;, needed by `debug/qrc_resource.cpp&#39;. Stop.”

     
  
 
 事情起因 直接把工程目錄下的skin_test.qss 改成test.qss 然後把qrc中的skin_test.qss 刪除掉,並重新新增test.qss到資源中。  然而編譯之後一直報錯:  rule to make target ../skin_test.qss', nee 



  
 

    


    
    
QT no rule to make target need by &#39;debug/.o&#39;.stop

     
  
 
  
  
 修改正確之後發現是.pro檔案中出現冗餘的問題,在網上也沒有找到正確的方法,對比了一下檔案裡面的內容,發現出現了其他的程式碼,所以貼出自己程式中的程式碼,並將問題總結下來 
 正確的 .pro 檔案格式 
 #--------------------------------------- 



  
 

    


    
    
[Err] 1093 - You can&#39;t specify target table &#39;s1_test&#39; for update in FROM clause

     
  
 
  
  
 前提說明:資料庫採用的是mysql。  資料庫表格:    題目:  刪除除了編號不同,其他資訊都相同的冗餘資訊。  思路:  1.找出除了編號不同,其他資訊不全相同的編號。  關鍵詞:group by……having :分組查詢,我對這個關鍵詞的理解是:不同的行之間找出列相同的一項或者 



  
 

    


    
    
39】WEB安全學習----Jsonp跨域安全

     
 
							
							
							同源策略
同源策略/SOP是一種約定,它是瀏覽器最核心也最基本的安全功能,所謂同源是指"協議+域名+埠"三者相同。
同源策略限制以下幾種行為:
1、Cookie、LocalStorage 和 IndexDB 無法讀取
2、DOM 和 Js物件無法獲得
3、AJA 



  
 

    


    
    
SSM時遇到的異常(3)——IllegalStateException: Neither BindingResul..plain target object for bean ..&#39;command&#39;

     
  
 
 
  JDK1.7+Tomcat7.0 
 十二月 27, 2018 9:01:00 下午 org.apache.catalina.core.ApplicationDispatcher invoke
嚴重: Servlet.service() for servlet jsp threw e 



  
 

    


    
    
Exception:Neither BindingResult nor plain target object for bean name &#39;trainingmanagementseacherPage&#39; available as request attribute

     
 Exception:Neither BindingResult nor plain target object for bean name 'trainingmanagementseacherPage' available as request attribute 
異常:bean名'trainingmana 



  
 

    


    
    
Python練習題2:提取列表中的所有數字,包括字串中的數字 target = [&#39;25&#39;,5,&#39;a&#39;,1,2,&#39;b&#39;,4,5,&#39;A&#39;,&#39;python&#39;,&#39;3.6&#39;]

     
 方法一:使用type(eval())函式判斷型別,再用try-except-else處理異常 
 
  1 def num_trans():
 2     """使用eval()函式判斷"""
 3     target = ['25',5,'a',1,2,'b',4,5,'A','python','3.6'