本篇文章将会说到a标签_blank的缺陷和同进程产生的问题和解决方法,a标签有什么安全问题?有兴趣的小伙伴,可以来看一下哦~
a标签_blank的缺陷:
当一个链接使用target=”_blank”的方式,这个链接会打开一个新的TAB,但会和原始页面[点击链接页]占用一个进程。如果新的页面因为资源过大或有一个很高的加载时间,那么也会影响到原始页面的展示。
同进程产生的问题
- 同域:可以在新页面访问到原始页内的所有内容,包括document对象,方法(window.opener.document)
- 异域:输入不能访问document,但仍可以通过(window.opener.location)访问到原始页的location,也就是说,在新页面可以使用window.opener一定程度上的修改原始页面内容,甚至是href。
安全问题的产生:
同域的情况下,打开钓鱼网站的可能性还是非常小的,利用同进程的可以访问document特性,来做一些操作,如QQ登录,登录完后传递回参数。
但在异域情况下就不怎么乐观了,比如A页面打开了B页面,然后B页面打开了一个钓鱼网站C页,此时C页用能访问到A页的location,C页[钓鱼网站]修改了A的location.href跳转到一个原始页一样的钓鱼网站,当用户切换回A进行操作时,就很有可能导致隐私数据的泄露。
解决办法
新版本浏览器:
<a href=”xxx.xxx” rel=”noopener”></a>
老版本浏览器:
<a href=”xxx.xxx” rel=”noreferrer”>1231456</a>
兼容写法:
<a href=”xxx.xxx” rel=”noopener noreferrer”></a>
用javascript解决:
var otherWindow = window.open();
otherWindow.opener = null;
otherWindow.location = url;
后记
如果用open打开页面,则可以通过清除掉opener和location达到相同的效果。
做一切好事要把握时机,也要把握因缘。