soword科技言
永久公益免费API接口
提供永久免费的API接口,查看更多API接口,如果您有其他免费API资源,请联系我们,造福人类。
提供商务开发:小程序,系统,APP
定制开发,免费评估,免费咨询,价格便宜,售后保障,前往开发服务中心联系开发客服中心
Chrome阻止标签抓取攻击

谷歌将于明年在Chrome中部署一项新的安全功能,以防止标签抓取,一种web攻击,允许新打开的选项卡从打开的位置劫持原始选项卡。

新功能是计划使用Chrome 88,将于2021年1月发布。

而“制表符劫持”一词指的是一类广泛的制表符劫持攻击[见OWASPWikipedia],谷歌正在处理一个特定的场景。

这个场景指的是用户点击一个链接,链接会在一个新的标签页中打开(通过“target=\u blank”属性)。

这些新的选项卡可以访问打开新链接的原始页面。通过JavaScript“开窗器“函数,新打开的选项卡可以修改原始页面并将用户重定向到恶意站点。

这种类型的攻击在过去的几年里为许多网络钓鱼活动提供了动力。为了减轻这种威胁,浏览器制造商喜欢Apple谷歌,和Mozilla在过去的几年中创建了rel=“noopener”属性,安全研究人员和顶级web开发人员一直主张网站所有者在所有链接中添加rel=“noopener”,在这些链接中,他们还使用“target=\u blank”属性来阻止制表符抓取攻击[12]。

然而,今天的大多数网站最终都被放弃了,或者网站所有者没有时间跟上web开发和web的最新趋势安全。

这就是为什么在2018年https://webkit.org/blog/8475/release-notes-for-safari-technology-preview-68/“target=”noopener noreferrer nofollow“data component=”externalLink“>Apple和Mozilla已将该属性合并到Safari和Firefox中所有新打开的标签页中。

使用chrome88,谷歌将赶上其他两大浏览器制造商。除了在Chrome中添加此功能外,还将添加新的选项卡捕获保护功能所有其他基于Chromium的浏览器,如Edge、Opera、Vivaldi,勇敢。

Npm包盗取敏感的不一致和浏览器文件