Используют)
Как браузер определит можно ли слать запрос без получения ответа от сервера?
С более сложными (если например надо менять content-type на application/json) — сначала отправляется «preflight request» методом OPTION для получения разрешения на отправку основной части запроса. Для обычных post/get такого не делается.
Для себя сделал следующее — 3 рабочих стола. На первом разработка (код, браузер), на втором локальный/дев сервер, на третьем — продакшн.
Переключаясь на третий стол, я четко знаю с чем работаю и «случайных комманд» там просто быть не может.
Что нужно считать источником? источник вдохновения для написания статьи был закрытый репорт в FB со словами «спасибо, мы уже знаем о проблеме» (собственно как и в комментарии ниже) и официальная позиция Google на этот счет. А о проблеме, мне лично, стало известно, с паблик репортов на hackerone.
Ваша ссылка мне на глаза попалась один раз во время поиска различных вариантов решения проблемы и не является источником для данной статьи.
Для всех остальных, кто считает что оригинал статьи https://medium.com/@jitbit/target-blank-the-most-under... — сравните для начала дату публикации. Моя статья вышла 3го мая. Англоязычная — 4го.
Я о том что любая защита — лучше чем ничего. Особенно для «компьютерно неграмотных». Одно дело словить заразу за пол года-год, используя антивирус, другое дело через несколько дней.
Сработает так же при ctr + click, только пример на это не рассчитан так как пользователь сразу заметит срабатывание редиректа на странице, на которой нажал на ссылку. По идее решается переносом кода в window.onfocus
Другие варианты больше подходят тем, у кого, к примеру, много ссылок, ссылки в контенте и тд. Что бы подключив на все страницы скрипт — решить проблему. Еще пишут за возможные проблемы с обработкой в Safari, только, к сожалению, пока нет возможности это протестить.
Как браузер определит можно ли слать запрос без получения ответа от сервера?
С более сложными (если например надо менять content-type на application/json) — сначала отправляется «preflight request» методом OPTION для получения разрешения на отправку основной части запроса. Для обычных post/get такого не делается.
Запрос отправить можно. Как ответ прочесть без валидного CORS?
github.com/Bo0oM/PHP_imap_open_exploit
Переключаясь на третий стол, я четко знаю с чем работаю и «случайных комманд» там просто быть не может.
Для всех остальных, кто считает что оригинал статьи https://medium.com/@jitbit/target-blank-the-most-under... — сравните для начала дату публикации. Моя статья вышла 3го мая. Англоязычная — 4го.