a标签跳转referer漏洞
a标签打开新页面时需要添加 rel="noopener noreferrer"
否则,在新打开的页面(http://www.baidu.com)中可以通过 window.opener 获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以(例如 location 就不存在跨域问题)。
在 Chrome 49+,Opera 36+,打开添加了 rel=noopener 的链接, window.opener 会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性
如下:
<a href="http://www.baidu.com" target="_blank" rel="noopener noreferrer">百度</a>
在element UI中 el-link 相当于a标签
<el-table-column label="查看" prop="url" width="70">
<template slot-scope="{row}">
<el-link :href='row.url' :underline="false" target="_blank" rel='noopener noreferrer'>
<i></i>
</el-link>
</template>
</el-table-column>另外,可以使用 window.open 打开页面,手动将 opener 设置为 null。
var otherWindow = window.open('http://www.baidu.com');
otherWindow.opener = null;
otherWindow.location = url;来自:https://www.cnblogs.com/ycc1/archive/2020/10/21/13851380.html
本文内容仅供个人学习、研究或参考使用,不构成任何形式的决策建议、专业指导或法律依据。未经授权,禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载,请保留原文来源信息,不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持!
