谷歌将于明年在Chrome中部署一项新的安全功能,以防止标签抓取,一种web攻击,允许新打开的选项卡从打开的位置劫持原始选项卡。
新功能是计划使用Chrome 88,将于2021年1月发布。
而“制表符劫持”一词指的是一类广泛的制表符劫持攻击[见OWASP,Wikipedia],谷歌正在处理一个特定的场景。
这个场景指的是用户点击一个链接,链接会在一个新的标签页中打开(通过“target=\u blank”属性)。
这些新的选项卡可以访问打开新链接的原始页面。通过JavaScript“开窗器“函数,新打开的选项卡可以修改原始页面并将用户重定向到恶意站点。
这种类型的攻击在过去的几年里为许多网络钓鱼活动提供了动力。为了减轻这种威胁,浏览器制造商喜欢Apple,谷歌,和Mozilla在过去的几年中创建了rel=“noopener”属性,安全研究人员和顶级web开发人员一直主张网站所有者在所有链接中添加rel=“noopener”,在这些链接中,他们还使用“target=\u blank”属性来阻止制表符抓取攻击[1,2]。
然而,今天的大多数网站最终都被放弃了,或者网站所有者没有时间跟上web开发和web的最新趋势安全。
这就是为什么在2018年https://webkit.org/blog/8475/release-notes-for-safari-technology-preview-68/“target=”noopener noreferrer nofollow“data component=”externalLink“>Apple和Mozilla已将该属性合并到Safari和Firefox中所有新打开的标签页中。
使用chrome88,谷歌将赶上其他两大浏览器制造商。除了在Chrome中添加此功能外,还将添加新的选项卡捕获保护功能所有其他基于Chromium的浏览器,如Edge、Opera、Vivaldi,勇敢。
