今天分享一篇如何透過target的方式進行網站釣魚攻擊,也可以深入了解下”target="_blank" 與 “opener”的釣魚方式
原文出處:https://www.leavesongs.com/PENETRATION/use-target-to-spoof-fishing.html
波波觀點:前端安全也會影響信任邊界
target="_blank" 搭配 opener 的風險,是前端安全很好的入門案例。當新開啟的頁面可以透過 window.opener 影響原頁面時,攻擊者可能引導使用者回到偽造頁面,造成釣魚或信任混淆。這類問題提醒我們,前端連結與瀏覽器行為也屬於安全設計的一部分。
檢查與修補
- 外部連結若使用 target="_blank",應加上 rel="noopener noreferrer"。
- 使用者產生內容中的連結應經過過濾與安全屬性補強。
- 重要登入、付款、後台流程應降低跨站導引與視覺欺騙風險。
- 對外部連結保持清楚標示,避免使用者誤認仍在原站。
實務建議
WordPress 站台可以透過佈景主題、編輯器或外掛統一補上 noopener。若是自行開發前端,也應把連結安全納入 code review,避免把使用者導向不可控頁面時仍保留 opener 權限。
這個案例也適合拿來提醒前端開發者:安全問題不一定只在後端。瀏覽器 API、跨視窗互動、第三方連結與使用者導向流程,都可能形成攻擊面。











