核心价值通过 `Referrer-Policy` 限制来源信息传递,避免敏感参数泄露。`rel=noopener noreferrer` 防止新窗口获取 `window.opener` 并阻断部分来源传递。响应头注入(Middleware)import { NextResponse } from 'next/server' export function middleware() { const res = NextResponse.next() res.headers.set('referrer-policy', 'strict-origin-when-cross-origin') return res } export const config = { matcher: ['/((?!_next/static|_next/image).*)'] } 链接安全示例export default function Links() { return ( <ul> <li><a href="https://external.example.com" target="_blank" rel="noopener noreferrer">外部链接</a></li> <li><a href="/docs" rel="nofollow">站内文档</a></li> </ul> ) } 治理建议默认使用 `strict-origin-when-cross-origin`;对强隐私页面可用 `no-referrer`。所有 `target=_blank` 必须携带 `rel=noopener noreferrer`,防止反向导航与 opener 注入。结论结合响应头与链接属性的双重治理可显著降低来源泄露与 opener 攻击风险,适合生产环境的基础安全措施。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复