为什么``交叉爆炸式'' - 不安全的标题不安全？

Question

最近，我们将Web应用程序升级到Django 4，该应用程序现在默认情况下添加了

cross-origin-opener-policy：same-origin

标题到HTTP响应，这可能会导致window。 /code> be null在子窗口中。这打破了我们的一个页面之一，其中我们有一个子窗口（对于SSO auth），在完成操作后，将postmessage（）发送回父窗口。

我知道我可以通过手动将该标头设置为不安全的无，或以不同的方式构造这些页面来解决这个问题，但是我很好奇，对于儿童窗口而言，有什么可能不安全的，无法访问<<代码> window.opener ？

浏览器保留window.opener非常锁定，除了调用postmessage（）和其他几个次要的事情外，儿童窗口无法使用它。

鉴于它是如此锁定，那不安全呢？ 有人可以举个例子，说明子窗可以使用window.opener 浏览器允许 ？

Answer 1

在页面上的MDN上简要说明了，指的是此博客文章。

直接引用此博客：

tl; dr if window.pobener设置了，一个页面可以在开瓶器中触发导航，而不论安全性如何。

和

这是一个相对无害的例子，但是它可以将其重定向到网络钓鱼页面，旨在看起来像真实的index.html，要求登录凭据。用户可能不会注意到这一点，因为重定向发生在背景中时，重点是在新窗口中的恶意页面上。

您应该重新设计登录的流程，以便它不需要不安全的标头。特别是如果您接受用户的任意链接。