介绍

About rel=noopener文章中介绍了页面使用<a>标签,会存在的一个小风险,如下:

1
<a target="_blank" href="demo.html">demo</a>

使用target=_blank属性实现在新tab中打开页面的功能时,新的页面能通过window.opener.location拿到前一页面的window.location,这时,新页面可以通过window.opener.location.replace来实现变更前一页面的URL。

防范

<a>标签添加rel="noopener noreferrer"属性。