意思就是说“在没有rel="noopener noreferrer"属性的a标签中使用target="_blank"存在一定的风险”
最近,Chrome 116 版本为 COOP 增加了一个新的属性 restrict-properties。
Q:a标签target="_blank"的安全问题及解决办法 答:A标签的target属性规定在何处如何打开链接文档常用的有_self & _blank,如果在一个 A 标签内包含一个 target 属性,浏览器将会载入和显示用这个标签的 href 属性命名的、名称与这个目标吻合的框架或者窗口中的文档,如果这个指定名称或 id 的框架或者窗口不存在,浏览器将打开一个新的窗口,给这个窗口一个指定的标记,然后超链接文档就可以指向这个新的窗口。您可以把target=”_blank”理解为新的浏览器窗口打开此超链接;
1."window.location.href"、"location.href"是本页面跳转
做WEB前端开发的过程中,经常会有这样的需求,用户点击【编辑】按钮,弹出一个对话框,在里边修改相应的值,然后把修改后的值显示在原页面,最后点击保存。用window.parent.document.getElementById().setAttribute("value","")可以很好的解决这个问题。
NoFollow 是 Google 曾经提出的一个a新标签,目的是减少垃圾留言(例如米扑博客的留言:https://blog.mimvp.com/about#comments),解释当前页面与此留言链接指向页面之间的关系。使用了此标签表明链接与网站作者无关,也就是说搜索引擎不会用这个链接计算网站的 PR 值。很多博客程序都会自动在评论链接中加上 nofollow 标签。现在主流的 Blog 程序,如 WordPress 和 MovableType 均默认为其留言与 trackback 中的链接自动添加 nofollow 属性。这样可以使 Spammer 意图通过这种方式提高网站流行度的目标落空。
HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的流量的分布情况,还有用户搜索的关键词等,都是通过分析这个referrer信息来获取的。
https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy
这里我们有一个指向恶意网站的 href 属性,并以 _blank 属性为 target,使其在新标签页中打开。
SEO 相关:nofollow 和 external 浏览器安全相关:noopener 和 noreferrer
在浏览器中,通过 标签或者 JavaScript 中的 window.open 函数,可以打开新页面。新页面的 window 对象中,存在一个 opener 属性,保存对父页面的引用。我们知道,Web 应用的安全性,很大程度上是由同源策略(Same Origin Policy,SOP)所保证的。但是,在子页面访问 opener.location 的一些属性和方法时却不受 SOP 保护,这就是本文要探讨问题的核心所在。 来看一个案例,假设父页面中有新窗口打开的子页面链接: <a href="http:
BroadcastChannel (opens new window) 接口代理了一个命名频道,可以让指定 origin (opens new window) 下的任意 browsing context (opens new window) 来订阅它。它允许同源的不同浏览器窗口,Tab 页,frame 或者 iframe 下的不同文档之间相互通信。通过触发一个 message 事件,消息可以广播到所有监听了该频道的 BroadcastChannel 对象。
在做一个Web项目时遇到一个需求,当页面没有前驱历史记录时(就是当前为新弹出的页面,没法做goback操作即history.go(-1)),点击返回button时直接关闭页面,否则就退回到前一页。
出题思路来自于一个比较特别的叫做SOME的攻击方式,全名Same Origin Method Execution,这是一种2015年被人提出来的攻击方式,可以用来执行同源环境下的任意方法,2年前就有人做了分析。
大家好,今天和大家讨论的是新窗口创建问题,通常来说,我们打开一个 Electron 程序,映入我们眼帘的就是主窗口,基本上是通过 BrowserWindow创建的
BOM 浏览器对象模型 定义了js操作浏览器的属性和方法 open(页面地址的url,打开的方式) 第一个参数,如果为空,默认打开一个空白的页码 第二个参数,如果为空,默认打开一个新的窗口打开
需要在打开浏览器后, 获取浏览器的command_executor url, 以及session_id
window.open 弹出新窗口的命令; ‘page.html’ 弹出窗口的文件名; ‘newwindow’ 弹出窗口的名字(不是文件名),非必须,可用空”代替; height=100 窗口高度; width=400 窗口宽度; top=0 窗口距离屏幕上方的象素值; left=0 窗口距离屏幕左侧的象素值; toolbar=no 是否显示工具栏,yes为显示; menubar,scrollbars 表示菜单栏和滚动栏。 resizable=no 是否允许改变窗口大小,yes为允许; location=no 是否显示地址栏,yes为允许; status=no 是否显示状态栏内的信息(通常是文件已经打开),yes为允许;
由于笔者2年前维护了几个比较老的项目是用jquery全家桶开发的,其中有些需求是需要跨页面交互和父子页面通信,故借此总结一下。另一块是前端实现文件下载功能,虽然方法很多,为了不用重复造轮子,在此还是总结一波,毕竟多页面下的应用场景还是很多的。
Web 是基于 same-origin policy 构建的:这是一种安全功能,它是用来限制文档和脚本如何与其他来源的资源进行交互的。该原则限制了网站访问跨域资源的方式。例如,来自 https://a.example 的文档被禁止访问 https://b.example 上托管的数据。
由于本文介绍的主要还是基于javascript,不涉及任何框架方面的问题(如果想研究vue,react,angular方面的技术问题,可以移步我的其他文章),所以让我们用原生javascript来解决我们上面提到的问题吧。
window.open( ) , 它会打开一个指定URL 的新窗口。 浏览器会打开一个新的选项卡URL,而不是独立的窗口。
比如:a.html中,通过点击按钮等方式window.open出一个新的窗口b.html。那么在b.html中,就可以通过window.opener(省略写为opener)来引用a.html,包括a.html的document等对象,操作a.html的内容。
声明:以下仅为一次简单的记录,提供思路及过程,仅供学习交流,请不要用于非法用途,由此教程产生的法律问题均与本人无关!
说明:IE下,可以使用document.formName.item("itemName")或document.formName.elements["elementName"];
搭建好了基于 OWIN 的 OAuth2 服务器之后, 接下来就是如何从服务器取得授权了, 下面就介绍如何实现 OAuth2 定义的四种授权方式。
作为一个web开发者,避免不了用户登录功能,但是有多少知道用户登录的一些安全防范技术呢?
当使用target="_blank"打开新标签页时,新页面的window.opener是指向前一个页面,这样就可以控制前一个页面。譬如:当新旧页面在同一个域名下时,在新页面控制台输入 window.opener.alert(1) ,会发现旧页面弹出消息1 。当新旧页面不在同一个域名时,通过window.opener.location.replace 可以改变旧页面的url。所以还是加上rel="noreferrer",把opener对象设置为null,以防后患。
.js中cookie的基本用法简介 2009-12-15 js中页面刷新和页面跳转的方法总结 文章分类:Web前端 关键字: javascript js中页面刷新和页面跳转的方法总结 1.history.go(-1), 返回两个页面: history.go(-2); 2. history.back(). 3. window.history.forward()返回下一页 4. window.history.go(返回第几页,也可以使用访问过的URL) 例: <a href="javasc
我们先讲讲爬虫,这10w个网页我没有写代码去实现抓取,当时在上班,不想花太多时间去抓取这些内容(flag)。所以就采用Chrome浏览器的插件Web Scrape去实现抓取。
错误表现: 按关闭窗口按钮时,弹出对话框:stack overflow at line 87 . 那个按键的onclick = “window.close()”
那是一个繁忙的午后: ?:最近忙什么呢,服务器大佬? ?:别提了,之前收拾了几个不懂事的小游侠,还没有消停几天,压力又上来了! ?:怎么回事?不是捣乱的数据请求都已近被干掉了吗? ?:按照之前
Cookie,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)
返回上一页并刷新在此功能有利于用户的体验,是每一个web开发人员所必备的一项,长话短说,今天介绍实现此功能的一个方法,需要了解的朋友可以参考下:
用iframe、弹出子页面刷新父页面iframe <script language=JavaScript> parent.location.reload(); </script> 弹出子页面 <script language=JavaScript> window.opener.location.reload(); </script> 子窗口刷新父窗口 <script language=JavaScript> self.opener.location.reload(); </script> 刷新
可组合性是 Web 的非常强大的一项能力,你可以轻而易举的加载来自不同来源的资源来增强网页的功能,例如:font、image、video 等等。
原文:http://mp.weixin.qq.com/s/T4jQUdS-rar7hr2EWilJrw
如何实现刷新当前页面呢?借助js你将无所不能。 1,reload 方法,该方法强迫浏览器刷新当前页面。 语法:location.reload([bForceGet]) 参数: bForceGet, 可选参数, 默认为 false,从客户端缓存里取当前页。true, 则以 GET 方式,从服务端取最新的页面, 相当于客户端点击 F5("刷新") 2,replace 方法,该方法通过指定URL替换当前缓存在历史里(客户端)的项目,因此当使用replace方法之后,你不能通过“前进”和“后退”来访问已经被替
Phishing,攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
JavaScript之Window对象 首先我们先了解一个概念:事件。 事件,就是把一段代码设置好,满足条件时触发。或者说,事件是可以被 JavaScript 侦测到的行为。 网页中每个元素都可以触发JavaScript事件。 我们先来看一个简单的事件: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html
1、单纯的关闭 window.opener.location.reload(); //刷新父窗口中的网页 window.close();//关闭当前窗窗口 2、提交后关闭
a 标签的 rel 属性用于指定当前文档与被链接文档的关系。 用于a标签的可选属性 rel 和 rev 分别表示源文档与目标文档之间正式的关系和方向。rel 属性指定从源文档到目标文档的关系,而 rev 属性则指定从目标文档到源文档的关系。这两种属性可以在 a 标签中同时使用。
Page.RegisterStartupScript( “ CloseAndRefresh “ , “ <script language=’javascript’>window.close);window.opener=null;window.parent.location.href=’mydocument.aspx’;</script> “ )
本文讲述了一种在新窗口中打开页面时需要注意的安全问题和解决方案。当使用window.open()在新窗口中打开页面时,可能会存在安全风险。例如,攻击者可以通过恶意脚本劫持新窗口中的页面,从而窃取用户的个人信息。为了防范这种安全风险,可以采用以下方法:使用noopener属性或window.open()并设置opner为空,这样新窗口将不会继承父窗口的任何属性。另外,也可以使用iframe来打开新窗口,并确保iframe中的内容安全。最后,如果必须在新窗口中打开页面,可以使用第三方库,如OpenURL,来避免安全风险。
我们在classic环境中,有时针对page layout不能实现的地方,可以引入 一个vf page去增强标准的 page layout 功能,有时可能要求这个 vf page的部分修改需要更新此 page layout 或者当前这个vf page弹出的新的window的改动需要刷新这个整体的page layout,项目中遇见了这种需求,因为前端不好,费了一些时间去解决了他,mark一下后期有遇见同样的场景,可以直接拿过来用了。
使用 target="_blank" 打开新标签页时,新页面的 window.opener 对象指向前一个页面,也就可以控制前一个页面。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
