QQ浏览器Ipad版可跨域
TSRC认为是系统问题,但是只有ipad这样啊,明明是开发的疏忽,但是屌丝好不容易找到个bug。。。(┬_┬)
不过还是很感激TSRC的meizi曾经给我的宽容,thx,meizi
IOS本地域可以跨任意域,导致了在在ios本地执行js存在风险。
而QQ浏览器Ipad版允许在本地执行js,就是下载然后预览文件,而我测试其他浏览器百度,UC都是不允许这么做的,而且QQ浏览器ios非Ipad版都不允许这么做。
#前言
直接先危害证明,懒得打码了
#1
只要在任意地方下载跨域的HTML然后预览就会触发
例如邮箱发一封带有跨域html附件的邮件或者其他方式让你下载或者打开某个html等等场景就会遭到攻击,这样应该算是浏览器漏洞吧?
#2
感谢M锅的代码
SOP bypass with window.open()
<iframe name="m" onload="window.open('javascript:alert(document.cookie)','m')" src="http://mail.qq.com"></iframe>
解决方案:
过滤
- 上一篇:ios 字典转模型
- 下一篇:debian支持ll命令
相关文章
图文推荐
-
在CentOS6.x下安装Compiz——桌面立方体,特效种种
-
利用U盘安装windows7
-
sqlserver查询数据可编辑方法
-
Android RoboGuice使用指南(7):@Provides Methods
- 文章
- 推荐
- 热门新闻