Never _blank jaunā loga...

[reiniger]

Sveiki.

 

Pats nebiju pārbaudijis, bet klients sudzas ka tomēr pēc banera uzspiešanas tas neatveras jaunā logā. Domāju līki pirksti klientam, bet izradas ka tomēr ne.

<a href="http://www.sporto.lv"  target="_blank">sports</a>

<a href="http://www.ss.lv/"  target="_blank">ss</a>

sports klikšķis atvert jauna loga tad to aizver un manu esošo lapu atver uz jauno linku. Bet ss atveras tā kā vajadzētu.

 

Dzīvē.

http://jsfiddle.net/reiniger/Gfc5v/

 

Dzīvē vienīgi viņš nespēj parrefrešot šo izstrādes vidi tādēļ vispār neatver vaļā. :)

 

Pieļauju ka www.sporto.lv lapā varētu būt kāds interesants javascripts kas to dara.

 

Vai ir iespējams kaut kā apiet šo lietu?

 

PS: Skatos ka no parsportu.lv ar šāds pats prikols notiekas spiežot us zaļo sports baneri.

[blackhalt]

Man ir tāds JavaScript:

 

http://bh.id.lv/twitter/open.js

 

ņēmu no šitā:

 

http://wordpress.org/extend/plugins/open-in-new-window-plugin/

Edited June 29, 2012 by blackhalt

[e-remit]

Tur tai sporta lapā ir javascripts:

<script type="text/javascript"> if (window.opener){ var path=window.location; window.opener.location.href=path;  window.opener.focus(); if(window.opener!=window){ window.close(); } } </script>

Never pa tiešo viņu lapu, bet atver savu lapu, kurā ir redirekts uz to sporta lapu. Pēc redirekta informācijai par openeri vajadzētu pazust.

[indoom]

man liekas, tā problēma rodas tieši no tā, ka atveras redirekts. Jo pēc idejas sanāk, ka popups ir tas pats domēns, tāpēc tiek atļauts mainīt openera location href. Piemēram, jsFiddlē openera datiem netiek klāt, jo tiek vērts pa taisno uz citu domēna adresi. Man jau liekas, ka tas ir baigais security caurums browseriem.

edit: nja, izskatās, tas vienalga, vai izmanto redirektu vai ne. Ja vien neizmanto vidējo peles pogu, vai kādu shift/ctrl click. Sviests, paver crossdomain uzbrukuma iespējas.

Edited July 3, 2012 by indoom

[e-remit]

Nu, vēl jau paliek JS redirekts, iztīrot window.opener. Šādi strādā:

<script type='text/javascript'>window.opener=null;window.location='http://www.sporto.lv/';</script>

[Kavacky]

Man jau liekas, ka tas ir baigais security caurums browseriem.

Man īsti nedaleca; kādā veidā?

[indoom]

piem., var padot jebkuru linku atpakaļ. kaut vai fakedraugiem.lv lapu. uzrakstīs, ka steidzams ziņojums un lietotājs steigsies ielogoties, pat nepamanījis, ka tā nav īstā adrese.

[xPtv45z]

Ja, es pareizi sapratu, tad draugiem ieliks tādu redirektu uz fakedraugiem.lv un tas ir drošības caurums browserim? :)

[indoom]

Nepareizi saprati

[briedis]

No indoom sapratu tā - teiksim, draugos ir kāds links, kas atver kādu random lapu jaunā logā.Ja tā random lapa nonāk ļaundaru rokās, tad ļaundaris var panākt, ka draugiem lapa uzreiz pēc popup atvēršanas tiek pārāldēta uz fakedraugiem, kur, teiksim, prasa atkārtoti ielogoties. Cilvēks neko īpaši nenojaušot un nepamanot fakedraugiem.lv adresi URL bārā, vienkārši nodod paroli ļaundarim...

 

Man arī izskatās pēc cauruma. Ņemot arī vērā, cik populārās ir XSS ievainojamības......

Edited July 8, 2012 by briedis

[Kavacky]

Tad jau SQL injekcija arī ir security caurums browserim.

[indoom]

vispār šī lieta jau zināma vismaz 5 gadus, tad jau tas nav nekas ievērības vērts. Pēc idejas jau arī var parasto location.href nomainīt jebkurā lapā, bet, ja tas notiktu acu priekšā, tad, domājams, tas būtu aizdomīgāks. Galvenais jau ir tikai tas, ka tas notiek fonā, citā tabā/logā. Betnu atkal html5 var noteikt, ka tabs/logs nav redzams, un tad nomainīt adresi tāpat, vai arī vnk pārbaudot fokusu uz window. Variantu daudz :)