rel="noopner" or rel="noreferrer"
새 창으로 띄우는 경우가 정말 많은데 보안에 취약할 수 있다는 것을 알았다. 거래소는 피싱 사이트의 위험이 늘 있기 때문에 유념해야할 것 같다. 좋은 정보 공유해주신 찬명님 늘 감사합니다!
웹에서 새 탭으로 외부 링크를 띄우는 경우 보안 취약점과 대안들. target=_blank, https://t.co/2ktQi5jVUj()을 사용하여 외부 링크를 연결하는 경우 피싱 공격에 노출. https://t.co/wAke6M10tGhttps://t.co/ueCaIamaRthttps://t.co/tsoDoKrZkX
— 정찬명 (@naradesign) April 12, 2019
MDN <a> 문서에도 아래와 같은 문구가 적혀있다. https://developer.mozilla.org/ko/docs/Web/HTML/Element/a
참고: target을 사용할 때, rel="noreferrer"를 추가해 window.opener의 악의적인 사용을 방지하는걸 고려하세요.
Tabnabbing
Tabnabbing이란 HTML 문서 내에서 링크(target이 _blank인 Anchor 태그)를 클릭 했을 때 새롭게 열린 탭(또는 페이지)에서 기존의 문서의 location을 피싱 사이트로 변경해 정보를 탈취하는 공격 기술을 뜻한다. 이 공격은 메일이나 오픈 커뮤니티에서 쉽게 사용될 수 있다. (아래 링크 본문 발췌)
Tabnabbing 공격과 rel=noopener 속성 | Coderifleman's blog
rel="noopener" prevents window.opener, so there's no cross-window access. Chromium browsers optimise for this and open the new page in its own process.
blog.coderifleman.com
tabnabbing 공격 방어 대책 정리
tabnabbing 공격 방어에 대해 스터디한 결과물 정리
medium.com
'DEV > Web' 카테고리의 다른 글
| [HTML] iframe은 가고 portals이 온다 (0) | 2020.06.16 |
|---|---|
| [iOS13] 아이폰 저전력 모드에서 video 재생버튼 이슈 (0) | 2020.05.13 |
| [HTML] OS/브라우저마다 다르게 보이는 select (0) | 2019.02.18 |
| [웹폰트] 눈누, 이렇게 예쁜 무료 한글 폰트가 한곳에..! (0) | 2018.12.21 |
| [Favicon] 파비콘의 모든 것 (feat. 멀티플랫폼) (0) | 2018.12.19 |