使用rel=noopener

html

原文来自:http://keenwon.com/1548.html

最近看到一篇文章,又涨知识了,以前还真没想到opener能这么玩。简单介绍下:

解决什么问题

假设你当前在浏览一个页面,上面有个链接(可能是用户输入的):

<a target="_blank" href="https://pdbn.top/">点击</a>

在新打开的标签页通过window.oponer,可以获得当前页面的window。这样的话,https://pdbn.top/(被打开的页面)将获得当前页面的部分控制权,即使新打开的页面是跨域的也照样可以(例如location就不存在跨域问题)。

大家试试这个demo,demo只是跳到了百度首页,但是如果跳到了钓鱼网站呢?直接提示用户登录,而此时用户注意力集中在新开标签页里,很可能不会注意到原页面在后台的变化。

rel=noopener 新特性

在chrome 49+,Opera 36+,打开添加了rel=noopener的链接,window.opener会为null。在老的浏览器中,可以使用 rel=noreferrer 禁用HTTP头部的Referer属性,使用下面JavaScript代替target='_blank'的解决此问题:

var otherWindow = window.open('https://pdbn.top');
otherWindow.opener = null;
otherWindow.location = url;

使用window.open打开页面,手动将opener设置为null。