Toggle sidebar
  • Твой профиль заполнен на 0%. Заполни за 1 минуту, чтобы тебя нашли единомышленники и работодатели. Заполнить →

XSS в a href, но target=_blank блокирует исполнение

  • Автор темы Автор темы Revoltage
  • Дата начала Дата начала
Revoltage

Revoltage

Grey Team
07.10.2020
42
98
Нашел уязвимое место в создании гиперссылок в href, также стоит target=_blank, ввожу пейлоад получаю следующее:

<a href="javascript:alert(1)" target="_blank">Click me</a>
Но браузер при нажатии открывает новый таб с about:blank#blocked без выполнения кода, я пробовал повторить на локалке и везде, но никак не могу заставить работать JS код. Может знает кто, как решить проблему?
 
Решение
Mark Klintov
Revoltage сказал(а):
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
Нажмите, чтобы раскрыть...
Да, стандарты централизованные, но разрабы могут не соблюдать этого, использовать свои методы или иметь свои собственные правила
Сортировать по дате Сортировать по голосам
Проблема возникает из-за того, что браузер блокирует выполнение JavaScript кода в новом окне. Чтобы исправить это, нужно добавить атрибут rel="noopener" к тегу <a>:

Код: 
<a href="javascript:alert(1)" target="_blank" rel="noopener">Click me</a>
 
За 0 Против
Mark Klintov сказал(а):
Проблема возникает из-за того, что браузер блокирует выполнение JavaScript кода в новом окне. Чтобы исправить это, нужно добавить атрибут rel="noopener" к тегу <a>:

Код: 
<a href="javascript:alert(1)" target="_blank" rel="noopener">Click me</a>
Нажмите, чтобы раскрыть...
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
 
За 0 Против
Revoltage сказал(а):
Разве у браузеров не централизованные стандарты? В FireFox такое отлично исполняется, странное
Нажмите, чтобы раскрыть...
Да, стандарты централизованные, но разрабы могут не соблюдать этого, использовать свои методы или иметь свои собственные правила
 
За 1 Против
Решение
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

samhainhf
Статья Dalfox: Поиск и обнаружение XSS уязвимостей
Ответы
0
Просмотры
2 тыс.
Безопасность веб-приложений
samhainhf
samhainhf
Сергей Попов
  • Статья Статья
Статья Безопасность LLM: полная карта атак на языковые модели, prompt injection и регуляторные требования к ИИ в 2026 году
Ответы
0
Просмотры
1 тыс.
Общение и нетворкинг
Сергей Попов
Сергей Попов
Сергей Попов
Статья XSS-атаки в 2025: Некромантия в браузере. Практический гайд по обходу WAF и CSP с помощью AI и Mutation XSS
Ответы
2
Просмотры
6 тыс.
Безопасность веб-приложений
Сергей Попов
Сергей Попов
xzotique
Статья Отравление кэша CDN
Ответы
0
Просмотры
1 тыс.
Безопасность веб-приложений
xzotique
xzotique
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад