![]() | 1 FunnyFun 2016-05-11 20:13:03 +08:00 没看懂, 很神奇, 看看楼下的怎么说 |
![]() | 2 abelyao 2016-05-11 20:16:03 +08:00 via iPhone 利用 js 把来路窗口做跳转,以前 v2 上有人发过的,可以搜一下 |
![]() | 3 alexapollo 2016-05-11 20:20:02 +08:00 有意思,目标网页篡改了原网页 |
![]() | 4 abelyao 2016-05-11 20:22:05 +08:00 via iPhone window.opener.location.replace(url); |
![]() | 6 popok 2016-05-11 23:25:44+08:00 |
![]() | 8 maskerTUI 2016-05-11 23:35:21 +08:00 用 https 呀 |
10 lroolle 2016-05-11 23:41:31 +08:00 没看懂。。 |
![]() | 12 popok 2016-05-12 00:07:17 +08:00 @qcloud 这个就是 Javascript 让父框架跳转, https 也没用吧,防止的话,应该可以用 Tampermonkey 通过代码劫持这种跳转吧,反正我不会。 |
![]() | 13 popok 2016-05-12 00:49:44 +08:00 Tampermonkey 新建一个脚本 加载位置设置为 document-start ,执行代码 parent.window.opener=null; 匹配规则按你自己需要设置。 |
![]() | 16 yeyeye 2016-05-12 09:11:55 +08:00 |
![]() | 17 yeyeye 2016-05-12 09:13:46 +08:00 另外,这其实也算一个安全漏洞,因为如果跳转到的是一个高仿的登录页,一不小心你就会输入账号(判断你用的搜索引擎,然后跳转到对应站点的登录界面的高仿页面) |
![]() | 18 yeyeye 2016-05-12 09:38:37 +08:00 刚要实验一下 结果视频已经被楼主删了 晕 |
![]() | 21 kamal ![]() https://mathiasbynens.github.io/rel-noopener/ About rel=noopener |
![]() | 23 qcloud OP @kamal 是这样吗 <a href="..." rel="noreferrer" target="_blank"> has the same behaviour as <a href="..." rel="noreferrer noopener" target="_blank">. |
![]() | 24 ejin 2016-05-12 10:51:41 +08:00 |
![]() | 26 qcloud OP |
![]() | 27 ucaime 2016-05-12 11:19:43 +08:00 我看了视频才想起来之前也遇到过。当时猜测以下两种可能: 1. 只在北京鹏博士旗下宽带接入遇到过。 2. 只在盗版海蜘蛛路由下遇到过(可能是官方有什么后门搞得?) 在 VPN 到国内任何一个节点后,劫持消失 做过分析:无 js 侵入,即使 curl 依然返回的是劫持后的页面。楼下可以把这点作为考虑条件。 |