BUG 追踪#1 - 2020-12-8 17:34
zph
## summary
个人主页 Home link 使用了 target="_blank" 但是没有使用 noopener 和 noreferrer keyword 导致如果用户点击了恶意构造的页面时会产生 open redirect
## exploit
https://bgm.tv/user/zph
点击 Home 弹出新页面的同时原标签页也会被 redirect 到指定页面
## fix
使用 rel="nofollow noopener noreferrer"
个人主页 Home link 使用了 target="_blank" 但是没有使用 noopener 和 noreferrer keyword 导致如果用户点击了恶意构造的页面时会产生 open redirect
## exploit
https://bgm.tv/user/zph
点击 Home 弹出新页面的同时原标签页也会被 redirect 到指定页面
## fix
使用 rel="nofollow noopener noreferrer"
<a target="_blank" href="https://evil.site" rel="nofollow noopener noreferrer">Link</a>