关于opener的安全小技巧

var window = window.open(url, windowName, [windowFeatures]);

本文主要针对 _blank的情况,

本文主要讲的就是 windowFeature 中的 noopener

当我们需要以另一个窗口的形式打开一个地址的时候, 我们常用的

window.open(url,”_blank”)

但由于安全方面的考虑我们需要加上个小参数, 就是 noopener

修正后: window.open(url,”_blank”,”noopener”)

问题就在于这个 opener 对象, 如果不加 noopener

当我们用 window.open 打开一个新窗口的时候, 我们在新建的窗口里可以拿到 window.opener, 这样我们就能获取到原窗口的对象.
如果新窗口打开的不是自己控制的页面,那人家拿到 window 对象,能做不少事情

Lighthouse 的检查里也会检查这一项