以浏览器为核心的客户端软件具有开发快速, 并且能使用浏览器的各种特性(如js脚本, flash插件等), 所以越来越多的客户端软件开始应用浏览器作为软件的界面渲染引擎.
但是, 浏览器也是安全问题最多的软件之一. 因其应用广泛, 导致攻击方法层出不穷. 前段时间, QQ客户端的某个版本就遇到了这个问题. 这个版本的QQ使用IE作为聊天记录的界面引擎, 似乎由于疏忽的原因, 没有对聊天信息中的HTML标签进行过滤, 导致用户可以通过在聊天信息中包含JavaScript脚本, 从而在对方机器上执行.
例如:
<script type="text/javascript">alert('hahaha');</script>
用户打开聊天历史记录时, 便会弹出一个窗口, 显示"hahaha". 还有嵌入iframe的:
<iframe src="http://some" width="100%" height="400"></iframe>
这样, 用户在打开聊天历史记录时, 却看到了一个网页, 而这个网页可能是挂马的.
所以, 使用浏览器为核心的客户端软件, 必须重视安全问题, 要对发给浏览器渲染的所有字符进行过滤. 最好的方法是使用一种模板语言, 简单的如ubb, 而不是直接使用HTML.
Loading ...