Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

1

#1 02. September 2016 09:49

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.807
Webseite

Re:

T3N hat einen interessanten Artikel zu target=_blank veröffentlicht
http://t3n.de/news/facebook-sicherheits … nk-742146/

Wird ein Link mit target=_blank geöffnet, öffnet sich ein neues Browserfenster. Durch den dabei ausgeführten Befehl  window.opener erhält die neue Seite Zugriff auf das bisherige Browserfenster. So ist es möglich, via Javascript möglich den Inhalt der Ursprungsseite zu verändern. Gefährdet sind hier vor allem soziale Medien wie Facebook.

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

mit dem rel="noopener noreferrer" setzt man den window.opener auf Null.

[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox, Revisions

Offline

#2 02. September 2016 11:28

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.058

Re:

Wer ausprobieren will, ob sein Browser betroffen ist, kann das hier testen:
https://mathiasbynens.github.io/rel-noopener/
Beim Cross-Origin Beispiel warnt mich Firefox, dass die Ursprungsseite Seite plötzlich umleiten will.
Dazu gibt es einerseits eine Einstellung: "Erweitert" › "Allgemein" die Option "Warnen, wenn Webseiten versuchen umzuleiten oder neuzuladen"
Außerdem gibt es noch das AddOn RequestPolicy. RequestPolicy warnt unabhängig von dieser Einstellung.

Module: GBFilePicker, AdvancedContent, FEUMailer
Plugins: AjaxTools, XajaxTools
Sicherheit: Beispiel .htaccess-Datei

Offline

#3 02. September 2016 14:00

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.807
Webseite

Re:

Danke für die Ergänzung.

[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox, Revisions

Offline

#4 04. September 2016 07:49

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.741
Webseite

Re:

Für's Protokoll wink:

nockenfell schrieb:

Gefährdet sind hier vor allem soziale Medien wie Facebook.

Könnte aber auch für CMSMS-Anwender relevant werden, sobald auf der Webseite Besuchereingaben möglich sind, wie zum Beispiel die FE-Aktion beim News-Modul, beim CGFeedback-Modul und beim GBook-Modul (Gästebuch)

nockenfell schrieb:

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

Falls gewünscht und erforderlich, kann dies automatisiert über den Smarty-Tag replace ersetzt werden

{$entry->userinput|replace:'target="_blank"':'target="_blank" rel="noopener noreferrer"'}

wobei $entry->userinput die jeweilige Variable ist, die die Eingaben des Benutzers enthält.

http://www.smarty.net/docs/en/language. … eplace.tpl

1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMSMS
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

1

Fußzeile des Forums

Powered by FluxBB