我将链接的目标设置为 _blank。将 href 属性设置为带有 script 标签的 data-uri,并且前一个窗口的上下文执行 javascript。使用 window.open() 会发生这种情况吗?这将允许具有 XSS 的攻击者窃取 localStorage 数据,并且开发人员显然无法隔离窗口的执行上下文。我的问题是,为什么 data:uri 会在前一个窗口(即设置了 target="_blank" 属性的窗口)上下文中执行脚本,即使它在新选项卡中打开也是如此?而且,开发人员应该如何隔离窗口的 Javascript 上下文,因为 _blank 不这样做?我认为 _blank 意味着新窗口、新执行上下文,但我认为 _new 的行为方式相同。