DEV/Web

[HTML] rel="noopener noreferrer"로 새 창으로 열기 보안 취약점 보완하기

zineeworld 2019. 4. 17. 18:15

rel="noopner" or rel="noreferrer"

새 창으로 띄우는 경우가 정말 많은데 보안에 취약할 수 있다는 것을 알았다. 거래소는 피싱 사이트의 위험이 늘 있기 때문에 유념해야할 것 같다. 좋은 정보 공유해주신 찬명님 늘 감사합니다!

 

MDN <a> 문서에도 아래와 같은 문구가 적혀있다. https://developer.mozilla.org/ko/docs/Web/HTML/Element/a

참고: target을 사용할 때, rel="noreferrer"를 추가해 window.opener의 악의적인 사용을 방지하는걸 고려하세요.

Tabnabbing

Tabnabbing이란 HTML 문서 내에서 링크(target이 _blank인 Anchor 태그)를 클릭 했을 때 새롭게 열린 탭(또는 페이지)에서 기존의 문서의 location을 피싱 사이트로 변경해 정보를 탈취하는 공격 기술을 뜻한다. 이 공격은 메일이나 오픈 커뮤니티에서 쉽게 사용될 수 있다. (아래 링크 본문 발췌)

 

Tabnabbing 공격과 rel=noopener 속성 | Coderifleman's blog

rel="noopener" prevents window.opener, so there's no cross-window access. Chromium browsers optimise for this and open the new page in its own process.

blog.coderifleman.com

 

tabnabbing 공격 방어 대책 정리

tabnabbing 공격 방어에 대해 스터디한 결과물 정리

medium.com

 

반응형