今天小编跟大家讲解下有关a标签跳转referer漏洞 ,相信小伙伴们对这个话题应该有所关注吧,小编也收集到了有关a标签跳转referer漏洞 的相关资料,希望小伙伴们看了有所帮助。
a标签打开新页面时需要添加rel="noopener noreferrer"
否则,在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以(例如 location 就不存在跨域问题)。
在 Chrome 49+,Opera 36+,打开添加了 rel=noopener 的链接, window.opener 会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性
如下:
<a href="http://www.baidu.com"target="_blank"rel="noopener noreferrer">百度</a>在element UI中 el-link 相当于a标签
<el-table-column label="查看"prop="url"width="70"> <template slot-scope="{row}"> <el-link :href='http://www.fly63.com/article/detial/9751/row.url' :underline="false"target="_blank"rel='noopener noreferrer'> <i></i> </el-link> </template></el-table-column>另外,可以使用 window.open 打开页面,手动将 opener 设置为 null。
var otherWindow = window.open('http://www.baidu.com');otherWindow.opener = null;otherWindow.location = url;来自:https://www.cnblogs.com/ycc1/archive/2020/10/21/13851380.html
来源:爱蒂网
