[취약점]target="_blank"을 사용하여 외부 앵커를 여는 사이트

ETC

dmdkd 2023. 4. 11. 21:25

<a> 요소에서 target="_blank" 사용 시 보안상 취약점 발생

noopener/noreferrer

nooperner(노오프너)

- 링크된 페이지에서 window.opener을 사용해서 링크를 건 페이지를 참조할 수 없게 됨

- 신뢰할 수 없는 페이지로 이동하는 링크를 부득이하게 만들어야 할 때 사용

noreferrer(노리퍼러)

- 링크를 건 페이지의 주소 등의 정보를 브라우저가 Referer: HTTP 헤더로 리퍼러(referer 또는 referrer)로서 송신하지 않음

rel = noopener noreferrer

- rel 속성은 링크된 페이지(href="연결할 페이지의 URL")와의 관계(relationship)

- 공백으로 구분해서 관계 목록을 나열하여 지정할 수 있음

일반적으로 새 창이나 탭에서 외부 링크를 열 때는 언제나 rel="noopener"를 추가합니다.

<a href="https://examplepetstore.com" target="_blank" rel="noopener">...</a>

Links to cross-origin destinations are unsafe - Chrome Developers

Learn how to safely link to resources on another host.

developer.chrome.com

링크에 noopener noreferrer 사용하는 이유

얼마전 공신력 있는 어떤 단체의 HTML 오픈 소스를 보다가 rel="noopener noreferrer"라는 코드를 처음 보았습니다. noopener와 noreferrer는 어떤 역할을 하고 일반적으로 필요한 코드일까요❓

joshua-dev-story.blogspot.com