target属性注入

概述

target 属性指定在何处显示链接的URL作为浏览上下文(标签、窗口或 <iframe>)的名称。以下关键字对于加载URL的位置有特殊含义:

  • _self - 当前的浏览上下文,默认值。

  • _blank - 通常是一个新标签页,但用户可以配置浏览器改为打开新窗口。

  • _parent - 当前浏览上下文的父级,如果没有父级,行为如同 _self

  • _top - 最顶层的浏览上下文(当前上下文的"最高"祖先),如果没有祖先,行为如同 _self

_blank

使用 target=_blank 允许链接页面通过 window.opener API 获取对源页面的部分访问权限。新打开的标签页然后可以将 window.opener.location 更改为钓鱼页面或在打开者页面上执行JavaScript。

在较新的浏览器版本(例如Firefox 79+)中,在 <a> 元素上设置target="_blank"会隐式提供与设置 rel="noopener" 相同的 rel 行为。

参考资料

上一页meta标签注入下一页HTTP头安全

最后更新于