首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

安全开发小知识记录

[TOC] 0x00 前言 小小知识大作用 0x01 F&Q 1.前端Web Q:a标签target="_blank"的安全问题及解决办法 答:A标签的target属性规定在何处如何打开链接文档常用的有..._self & _blank,如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档,如果这个指定名称或 id...的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后超链接文档就可以指向这个新的窗口。...您可以把target=”_blank”理解为新的浏览器窗口打开此超链接; 关键点: 如果您使用了该属性却没有添加rel=”noopener noreferrer”得话就会存在一定得安全风险; 原理解析...实例演示: #http://www.weiyigeek/a.html target="_blank">跳转; #点击后浏览器会在新得窗口和标签页打开b.html

70610

安全开发小知识记录

[TOC] 0x00 前言 小小知识大作用 0x01 F&Q 1.前端Web Q:a标签target="_blank"的安全问题及解决办法 答:A标签的target属性规定在何处如何打开链接文档常用的有..._self & _blank,如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档,如果这个指定名称或 id...的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后超链接文档就可以指向这个新的窗口。...您可以把target=”_blank”理解为新的浏览器窗口打开此超链接; 关键点: 如果您使用了该属性却没有添加rel=”noopener noreferrer”得话就会存在一定得安全风险; 原理解析...实例演示: #http://www.weiyigeek/a.html target="_blank">跳转; #点击后浏览器会在新得窗口和标签页打开b.html

47010
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Speed丨如何快速给网站添加Pjax?

    Pjax是一种很多网站( facebook,  twitter)都支持的浏览方式, 当你点击一个站内链接的时候, 不是做页面跳转, 而是只是站内页面刷新。...设置后的这些网站的ajax刷新是支持浏览器历史的, 刷新页面的同时, 浏览器地址栏位上面的地址也是会更改, 用浏览器的回退功能也能够回退到上一个页面。Pjax是可以增加访客打分的好功能。...绑定本页面非新窗口打开的所有本域链接,链接点击后,替换contentleft容器内容为新内容contentleft,ajax超时时间8秒     $(document).pjax('a...[target!...问题比如:pjax之后多说评论框不加载,ajax评论不能提交等等问题。 问题原因:原先容器绑定的事件被新容器替换掉了,新容器的div没有绑定事件,所以点击无效。

    1.9K40

    学习 HTTP Referer

    平常你一定会遇到一些问题需要去排查,假如这个问题在你排查完全部代码后,依然没有解决,这个时候你会怎么办?此时我们就需要将排查问题的角度转换一下,切换到 HTTP 协议上。...最近工作当中也碰到了与此相关的一些问题,借此机会也同时做个记录和总结。HTTP 协议整体包含内容非常多,本次我们只把其中的 Referer 字段拿出来和大家详细说一下。...工作中实际使用的场景:在双品牌“乐彩云”推广中为降低双域名跳转改造成本,运维层面在Nginx添加了一个规则,若访问链接(例如 news.zcygov.cn)的 Referer 包含 lecaiyun.com... 标签在HTML的 标签内,可以新增 标签,设置整个网页的 Referer Policy 策略。...target="_blank">新地址复制代码支持的标签:、、、

    1.8K30

    标签 rel 属性详解

    加了 nofollow 的链接页面会不会被收录? 链接页面还是会被收录和索引,只是没有分配该页面权重。因为爬虫还是可以通过站点地图、内链、外链等方式,访问到链接页面。...nofollow 让搜索引擎不要跟踪标记了该属性的链接,使其不传递权重。 external rel="external" 和 target="_blank" 的作用一样,都是在新窗口中打开当前链接。...如果网点采用严格的 DOCTYPE 声明,则 target="_blank" 会失效。而 rel="external" 仍可以正常工作。 SEO 的作用 告知搜索引擎,当前链接是外部链接。...当链接使用 target="_blank" 打开新页面时,新页面可以使用以下语句控制父页面: if (window.opener) { window.opener.location="https...同时,新页面无法获取 document.referrer 信息,该信息包含了来源页面的地址。

    2.1K30

    超链接标签

    如果在一个 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档。...是不是有点难理解,target属性有四个属性值,分别是:_blank,_self,_parent,_top。 _blank 浏览器总在一个新打开、未命名的窗口中载入目标文档。...这个目标是多余且不必要的,除非和文档标题 标签中的 target 属性一起使用。 _parent 这个目标使得文档载入父窗口或者包含来超链接引用的框架的框架集。..._top 这个目标使得文档载入包含这个超链接的窗口,用 _top 目标将会清除所有被包含的框架并将文档载入整个浏览器窗口。...如果a标签内没有此元素,默认是在浏览网页中重新载入对应链接网页,一般来说,我们除了_blank和_parent,其余不怎么常用。

    2.5K00

    看我如何窃取Messenger.com用户登录认证随机数并获得15000美元漏洞赏金

    在网站Messenger的Facebook登录链接https://www.messenger.com/login/fb_iframe_target/中,包含了一个控制随机数并进行URL重定向的参数redirect_uri...:针对http://www.example.com/#sth类似链接,早期来说,搜索引擎的网络爬虫只会抓取http://www.example.com/里面的内容,后期,为了解决这个问题,google提出解决方案...,因此,通过该链接构造的Facebook应用可以让请求服务端发生任意URL的重定向跳转。...综合以上问题,可以构造出以下包含重定向URL-https://stephensclafani.com/poc.php的验证性(PoC)链接: https://www.facebook.com/login...app_id=758283087524346&redirect_uri=https://stephensclafani.com/poc.php,所以浏览器仍然保存的是包含了nonce的referer头。

    2.5K50

    6.超链接-HTML基础

    图片超链接.png 2.target属性 默认情况下,超链接都是在当前浏览器窗口打开新页面。 在HTML中,我们可以通过target属性来定义超链接在窗口中的打开方式。...-- 若不加target="_blank",也就是target采用默认值_self,会将超链接变成百度。...加target="_blank",则会保留超链接这个网页,在新增一个页面,如下图。 --> ?...超链接target属性_blank.png 二、内部链接 1.外部链接和内部链接 在HTML中,超链接有两种: 外部链接 内部链接 (1)外部链接 指向的是外部网站的页面。...内部链接示例1.png 三、锚点链接 当我们的页面内容较多页面过长时,会导致用户需要不停地拖动浏览器的滚动条才可以查看内 容。为了简化用户操作,我们可以使用锚点链接来优化用户体验。

    2.5K32

    你不知道的Cypress系列(6) -- 多Tab的小秘密

    我们先来看一下多Tabs测试的典型场景: 通常页面有一个超链接,它有href属性,当你点击文本的时候,会跳转。...我们想一下,Cypress跟其它“平(yao)平(yan)无(jian)奇(huo)框架”相比,最大的特点是什么?运行在浏览器内对吧。 能够直接操作DOM元素对吧?既然如此,操练起来吧!...如果你学过一点HTML的皮毛就会知道,target=_blank这个属性就是用来保证一定会打开新页面的。...', '_blank') cy .contains('关注iTesting') .invoke('removeAttr', 'target').click() // 请继续你的操作,此动作将会在当前页面打开超链接...毕竟,Cypress可以访问任何你的应用程序可以访问的资源,那么,不如先“监控”下window打开这件小事儿:)

    3.8K30

    如何给Emlog博客文章外链自动添加nofollow属性

    为了不影响自己的博客的权重,但是在文章中出现外部链接却没有自动添加,如果手动为外链添加外链跳转或访问这个网址就需要复制到浏览器中才能打开,这样的确有些不利于用户体验。     怎么办呢?...那么,我们现在要做的就是在为 文章 的文章" target="_blank">文章中的外链添加”nofollow”属性.如果能够将博客为 文章 的文章" target="_blank">文章里的导出外链都加上...手动在编辑链接时添加”Nofollow”属性; 为 Emlog 的为 文章 的文章" target="_blank">文章" target="_blank">Emlog为 文章 的文章" target=..."_blank">文章编辑器默认的超链接中没有nofollow选项,因此只能选择HTML编辑再加上nofollow标签,不仅费时费力,而且还会有遗漏。    ...很显然,这不是你想做的.但“如何给" target="_blank">Emlog博客文章外链自动添加nofollow属性”呢?

    32210

    window.opener.location 安全风险讨论

    我们知道,Web 应用的安全性,很大程度上是由同源策略(Same Origin Policy,SOP)所保证的。...但是,在子页面访问 opener.location 的一些属性和方法时却不受 SOP 保护,这就是本文要探讨问题的核心所在。...来看一个案例,假设父页面中有新窗口打开的子页面链接: target="_blank">click me..." target="_blank" rel="noreferrer">click me 完整的测试页面可以在这里找到,以下是我在部分浏览器下的测试结果: 浏览器 1)默认情况 2)window.opener...这个问题可以通过在页面增加 var location; 来解决,不属于本文重点,这里不展开讨论) 由表格可以看出,在所有现代浏览器中,默认情况下父页面都会被跳走。

    1.7K60

    a标签 rel=“external nofollow“ 用法

    比较常见的就是【rel="nofollow"】和【rel="external nofollow"】这两种属性值的应用了。...external :告诉搜素引擎,这是非本站的链接,这个作用相当于target=“_blank” external 和 nofollow 这两个属性的大致可以解释为 “这个链接非本站链接,不要爬取也不要传递权重...rel="external" 此属性的意思是告诉搜索引擎,这个链接不是本站链接,其实作用相当于target=‘_blank’。 为什么要这样写呢?...如果你在链接上使用 target="_blank"属性,并且不加上rel="noopener"属性,那么你就让用户暴露在一个非常简单的钓鱼攻击之下。...在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性,使用下面JavaScript代替target='_blank' 的解决此问题: 1 2 3

    1.4K20
    领券