Google通过引入一项安全功能来保护Chromebook与Safari和Firefox等产品保持一致,该功能将帮助保护用户免受标签劫持。各种各样的攻击都使用了一种称为“标签欺骗”的技术,其中包括将受害者重定向到恶意站点的网络钓鱼活动。Google会使用Chrome 88采取措施,针对这种威胁的特定变体提供保护。
则可以避免制表法。该利用利用了以下事实:当使用属性target = _blank在新选项卡中打开链接时,新选项卡将保留对原始页面的访问权限。
不仅如此,window.opener JavaScript函数还可以用于通过修改原始页面将用户重定向到恶意站点。如果网站使用rel =“ noopener”属性,则此攻击将停止在其轨道中,但并非所有网站都这样做-特别是不再维护的旧网站。
标签页锁定
就像在Firefox和Safari中一样,Google最终将对所有新打开的标签页使用rel =“ noopener”自动启动。尚不清楚为什么Google花了这么长时间才能赶上其他浏览器。Mozilla和Apple早在2018年就推出了应对制表法的措施。
该安全更新将包含在将于2021年1月发布的Chrome 88中。该功能还将在其他基于Chromium的网络浏览器(例如Edge和Opera)中使用,但确切的发布日期尚不清楚。