টার্গেট = "_ ফাঁকা" এবং rel = "নোপেনার নোরফেরার" এর সাথে লিঙ্কটি এখনও দুর্বল?

94

আমি লোকদের এমন পরামর্শ দিচ্ছি যে যখনই কেউ target="_blank"এটির একটি অন্য উইন্ডোতে খুলতে লিঙ্কে ব্যবহার করেন, তাদের রাখা উচিত rel="noopener noreferrer"। আমি ভাবছি কীভাবে এটি Chrome এ বিকাশকারী সরঞ্জামগুলি ব্যবহার করতে বাধা দেয়, উদাহরণস্বরূপ, এবং rel বৈশিষ্ট্যটি সরানো। তারপরে লিঙ্কটি ক্লিক করুন ...

এখনও দুর্বলতা বজায় রাখার কি সহজ উপায়?

html 
মিরো জে।
সূত্র
আপনি কী ধরণের সুরক্ষা মঞ্জুরি দেবেন (বা এই ক্ষেত্রে তা করবেন না) বলে মনে করেন?
আমি ব্রাউজারের এক্সটেনশানগুলি বিবেচনা করছিলাম যা ডিওএমকে পরিচালনা করতে পারে।
মিরো জে।
4
ফায়ারফক্স automatically৯ স্বয়ংক্রিয়ভাবে এটি করবে (ভাল, noopenerকমপক্ষে, তবে নীচে উল্লিখিত হিসাবে, noreferrerরিন্ডানডেন্ট): হ্যাকস.মোজিলা.অর্গ
কেভ

উত্তর:

113

আপনি দুর্বলতা ভুল বুঝতে পারে। আপনি এ সম্পর্কে এখানে আরও পড়তে পারেন: https://www.jitbit.com/alexblog/256-targetblank---t-- Most-underestimated-vulnerability-ever/

মূলত, rel="noopener noreferrer"লিঙ্কগুলিতে যুক্ত করা আপনার সাইটের ব্যবহারকারীদের ব্রাউজারের সম্ভাব্য হাইজ্যাকিংয়ের সাথে (দুর্বৃত্ত জেএস এর মাধ্যমে) সংযুক্ত হওয়া সাইটের বিরুদ্ধে রক্ষা করে ।

আপনি বিকাশকারী সরঞ্জামগুলির মাধ্যমে সেই অ্যাট্রিবিউটটি সরিয়ে দেওয়ার বিষয়ে জিজ্ঞাসা করছেন - যা কেবলমাত্র আপনাকে (অ্যাট্রিবিটিতে টেম্পারিংকারী ব্যক্তি) দুর্বলতার কাছে প্রকাশ করবে।

জন ইউলিস
সূত্র
8
noopener noreferrerঅপ্রয়োজনীয়, যেহেতু noreferrerএর কার্যকারিতা অন্তর্ভুক্ত noopenerএইচটিএমএল.স্পেক.কিট.জি.ইউইউজি.আর.
লিঙ্কস.ইচটিএমএল
4
যদি এর অপ্রয়োজনীয় ভিজ্যুয়াল স্টুডিও কোড উভয়ের কেন প্রয়োজন?
মুহে
57

target="_blank"তাদের সাথে থাকা লিঙ্কগুলি রেফারার পৃষ্ঠাটি পটভূমিতে সরে যাওয়ার পক্ষে ঝুঁকিপূর্ণ এবং ব্যবহারকারীর মনোযোগ সদ্য খোলা ট্যাব দ্বারা ডাইভার্ট করা হয়। এটি বিপরীত ট্যাবনাপিং হিসাবে পরিচিত :

দূষিত প্রবাহের উদাহরণ

রেফারিং পৃষ্ঠাটি সঞ্চিত আছে window.openerএবং একটি দূষিত সাইট এটির মাধ্যমে এটি সংশোধন করতে পারে:

if (window.opener) {
   window.opener.location = "https://phish.example.com";
}

যোগ করার পদ্ধতি rel="noopener noreferrer"সংশোধন করা হয়েছে সমস্ত প্রধান ব্রাউজারে এই দুর্বলতার।

নোট করুন যে আপনি তাত্ত্বিকভাবে ম্যানিপুলেশনের মাধ্যমে rel ক্লায়েন্টের দিকটি সরিয়ে ফেলতে পারেন ... তবে আপনি কেন চান? আপনি যা করছেন তা ইচ্ছাকৃতভাবে নিজেকে আক্রমণে ঝুঁকিপূর্ণ করছেন।

অন্যান্য ব্যবহারকারীরা যারা একই ওয়েবসাইটে যান (এবং তাদের নিজস্ব ক্লায়েন্ট-সাইড কোডটি পরিবর্তন করেন না) তারা এখনও নিরাপদ থাকবেন, কারণ সার্ভারটি এখনও পরিবেশন করবে rel="noopener noreferrer"। আপনার এটি অপসারণ কেবল আপনার জন্য প্রযোজ্য।

অবসিডিয়ান বয়স
সূত্র
3

অ্যাঙ্কর ট্যাগ rel=”noopener”বা rel=”noreferrer”বৈশিষ্ট্যগুলি ওয়েবসাইট সুরক্ষার উন্নতি করে তবে কিছু লোক সেগুলি উপেক্ষা করতে চায় কারণ তারা মনে করে যে তারা তাদের ওয়েবসাইট অনুসন্ধান ইঞ্জিন অপ্টিমাইজেশানকে প্রভাবিত করবে, তবে এটি কেবল একটি মিথ মাত্র। এটি আপনার ওয়েবসাইট দর্শকদের গোপনীয়তা রক্ষা করে এবং দূষিত কোড ছড়িয়ে বাইরের ওয়েবসাইটকে প্রতিরোধ করে।

কৌসিগান আটসায়াম
সূত্র
4
যদি আপনি "পৌরাণিক কাহিনী" বিবৃতিটির জন্য কোনও উত্স উদ্ধৃত করতে পারেন তবে এটি চমৎকার হবে। বিশেষত, noreferrerঅংশ জন্য।
মিরো জে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.