公佈一年前發現阿里旺旺的一個xss漏洞的細節。
概述 能顯示錶情圖片成了現在的聊天軟件必備基本功能,這就需要支持展示富文本的控件。 聊天軟件主要用到兩種富文本格式:RTF和HTML格式。 RTF可以採用RichEdit、HTML可以選擇瀏覽器內核,比如Windows自帶的IE內核。 淘寶旺旺用的就是IE內核作爲聊天內容展示區,QQ使用的則是RichEdit。 用瀏覽器內核作爲展示的聊天軟件,可能就存在被注入JS的風險。 一年前的帖子:http:
相關文章
- 1. WEB前端面試2014阿里旺旺
- 2. 阿里旺旺批量發送圖片
- 3. Swing 做的一個模仿 阿里旺旺 的界面
- 4. 盜墓筆記—阿里旺旺ActiveX控件imageMan.dll棧溢出漏洞研究
- 5. 新年祝你們樂一樂,牛年旺旺,發財發財
- 6. 阿里巴巴的「旺信」上線
- 7. 新年天天旺旺旺!十犬十美迎新春~
- 8. 祝大家狗年家庭事業旺旺旺
- 9. 用C#仿旺旺皮膚實現--[下]
- 10. WEB漏洞 XSS(一)
- 更多相關文章...
- • RSS 發佈您的 Feed - RSS 教程
- • Hibernate的一級緩存 - Hibernate教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • ☆基於Java Instrument的Agent實現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章