我们经常使用 HTML target="_blank" 或 window.open() 在新窗口中打开页面。

创新互联公司专注于网站建设|成都网站维护公司|优化|托管以及网络推广，积累了大量的网站设计与制作经验，为许多企业提供了网站定制设计服务，案例作品覆盖水泥搅拌车等行业。能根据企业所处的行业与销售的产品，结合品牌形象的塑造，量身策划品质网站。

 
 
 
  
  
  
// in html 
  
  
  
open google 
  
  
  
 
  
  
  
// in javascript 
  
  
  
window.open("www.google.com") 
 
 

但是，当新打开的页面指向一个我们不知道的网站时，我们就会被暴露在钓鱼网站的漏洞中。新页面通过 window.opener对象获得了对链接页面的一些部分访问权限。

例如，可以使用 window.opener.location 将初始页面的用户指向一个假的钓鱼网站，该网站模仿原始网站的外观并做各种恶心的事情。鉴于用户信任已经打开的页面，这可能是非常有效的。

为了防止这种情况，我们可以:

在 HTML 中使用 rel="noopener 和 target="_blank"。

 
 
 
  
  
  
 
  
  
  
    open securely in a new tab 
  
  
  
 
 
 

在Javascript中，一定要重置 opener 属性:

 
 
 
  
  
  
const newWindow = window.open("someLink.com"); 
  
  
  
newWindow.opener = null; 
 
 

后续：现在看来，noreferrer 是多余的，所以noopener` 对于HTML的使用应该是足够的。

作者：Daniel 译者：前端小智

来源：js-craft 原文：http://www.js-caft.io/blog/window-open-and-target_blank-have-a-security-vulnerability/

网站名称：Window.open() 和 target= blank 有个安全漏洞
当前路径：http://www.jxjierui.cn/article/cddhodp.html