以浏览器为核心的客户端软件具有开发快速, 并且能使用浏览器的各种特性(如js脚本, flash插件等), 所以越来越多的客户端软件开始应用浏览器作为软件的界面渲染引擎.

但是, 浏览器也是安全问题最多的软件之一. 因其应用广泛, 导致攻击方法层出不穷. 前段时间, QQ客户端的某个版本就遇到了这个问题. 这个版本的QQ使用IE作为聊天记录的界面引擎, 似乎由于疏忽的原因, 没有对聊天信息中的HTML标签进行过滤, 导致用户可以通过在聊天信息中包含JavaScript脚本, 从而在对方机器上执行.

例如:

<script type="text/javascript">alert('hahaha');</script>

用户打开聊天历史记录时, 便会弹出一个窗口, 显示”hahaha”. 还有嵌入iframe的:

<iframe src="http://some" width="100%" height="400"></iframe>

这样, 用户在打开聊天历史记录时, 却看到了一个网页, 而这个网页可能是挂马的.

所以, 使用浏览器为核心的客户端软件, 必须重视安全问题, 要对发给浏览器渲染的所有字符进行过滤. 最好的方法是使用一种模板语言, 简单的如ubb, 而不是直接使用HTML.

建议继续学习：

1. 浏览器的工作原理：新式网络浏览器幕后揭秘    (阅读：19551)
2. 浅析http协议、cookies和session机制、浏览器缓存    (阅读：15800)
3. 从输入 URL 到页面加载完成的过程中都发生了什么事情？    (阅读：14503)
4. 程序员眼里IE浏览器是什么样的    (阅读：6853)
5. 浏览器的渲染原理简介    (阅读：6390)
6. 各种浏览器审查、监听http头工具介绍    (阅读：6251)
7. 图说浏览器战争：火狐、微软、谷歌那些事    (阅读：6080)
8. 浏览器缓存机制    (阅读：5775)
9. [译]Google Chrome中的高性能网络    (阅读：5128)
10. 12款很棒的浏览器兼容性测试工具推荐    (阅读：4863)