我想以编程方式打开一个新窗口(即通过
window.open
)并修改内容没有
window.opener
进行反向 tabnabbing Referer
标头泄露潜在敏感的 URL 或查询参数使用
noreferrer
功能(即 window.open(url, target, "noreferrer")
)似乎是最直接的选择,但根据 spec(参见步骤 15),这始终会导致返回值为 null
。
有没有办法打开一个新窗口而不传递
Referer
标头,将 opener
设置为 null
,并且仍然对打开的窗口有非空引用?
var otherWindow = window.open();
otherWindow.opener = null;
otherWindow.location = targetUrl;
您可以使用 windowfeatures 参数添加 noopener 和 noreferrer 之一或两者。