<a> 标签中 rel=“noopener noreferrer”
- <a> 标签的 rel 属性用于指定当前文档与被链接文档的关系。
- 只有在使用了 href 属性后才能使用 rel 属性。
- 使用了 target="_blank" 后需要增加 rel=“noopener noreferrer” 来保证安全。
<a> 标签中 target="_blank" 安全漏洞
在 <a> 标签中给链接加上 target="_blank" 后,目标网页会在新的标签页中打开, 此时在新打开的页面中可通过 window.opener 获取到源页面的 window 对象, 这就埋下了安全隐患。
- 假设一个网页 A 中有超链接指向网页 B。
- B 网页可以通过 window.opener 获取到 A 的 window 对象,进而网络钓鱼者可以控制 A 网页跳转到一个钓鱼网页(window.opener.location.href =“fishing.com”),用户不知道页面已经跳转,在该页面输入了用户名密码后则发生信息泄露。
设置 rel=“noopener noreferrer” 堵住钓鱼安全漏洞
- 设置 rel=“noopener” 的链接,window.opener 会为 null,这样新打开的页面便获取不到来源页面的 window 对象了。
- 设置 rel=“noreferrer” 的链接,新打开的页面也获取不到来源页面的 window 对象。 同时, 新打开页面中还无法获取 document.referrer 信息, 该信息包含了来源页面的地址。
总结
- 通常 noopener 和 noreferrer 会同时设置,rel=“noopener noreferrer”。因为一些老旧浏览器不支持 noopener。
- 使用 target="_blank" 在新标签页中打开第三方地址时, 必须设置 rel=“noopener noreferrer”。
