以浏览器为核心的客户端软件的安全问题
浏览:1753次 出处信息
以浏览器为核心的客户端软件具有开发快速, 并且能使用浏览器的各种特性(如js脚本, flash插件等), 所以越来越多的客户端软件开始应用浏览器作为软件的界面渲染引擎.
但是, 浏览器也是安全问题最多的软件之一. 因其应用广泛, 导致攻击方法层出不穷. 前段时间, QQ客户端的某个版本就遇到了这个问题. 这个版本的QQ使用IE作为聊天记录的界面引擎, 似乎由于疏忽的原因, 没有对聊天信息中的HTML标签进行过滤, 导致用户可以通过在聊天信息中包含JavaScript脚本, 从而在对方机器上执行.
例如:
<script type="text/javascript">alert('hahaha');</script>
用户打开聊天历史记录时, 便会弹出一个窗口, 显示”hahaha”. 还有嵌入iframe的:
<iframe src="http://some" width="100%" height="400"></iframe>
这样, 用户在打开聊天历史记录时, 却看到了一个网页, 而这个网页可能是挂马的.
所以, 使用浏览器为核心的客户端软件, 必须重视安全问题, 要对发给浏览器渲染的所有字符进行过滤. 最好的方法是使用一种模板语言, 简单的如ubb, 而不是直接使用HTML.
建议继续学习:
- 浏览器的工作原理:新式网络浏览器幕后揭秘 (阅读:19215)
- 浅析http协议、cookies和session机制、浏览器缓存 (阅读:15471)
- 从输入 URL 到页面加载完成的过程中都发生了什么事情? (阅读:14219)
- 程序员眼里IE浏览器是什么样的 (阅读:6600)
- 浏览器的渲染原理简介 (阅读:6133)
- 各种浏览器审查、监听http头工具介绍 (阅读:6018)
- 图说浏览器战争:火狐、微软、谷歌那些事 (阅读:5828)
- 浏览器缓存机制 (阅读:5616)
- [译]Google Chrome中的高性能网络 (阅读:4854)
- 12款很棒的浏览器兼容性测试工具推荐 (阅读:4696)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
扫一扫订阅我的微信号:IT技术博客大学习
<< 前一篇:新浪微博的XSS攻击
后一篇:浅谈绕过WAF的数种方法 >>
文章信息
- 作者:ideawu 来源: idea's blog
- 标签: 浏览器
- 发布时间:2011-08-23 13:50:42
建议继续学习
近3天十大热文
- [694] Go Reflect 性能
- [26] 正态分布的前世今生(一)
- [18] rsync同步的艺术
- [15] 基于HTTP缓存轻松实现客户端应用的离线支持
- [15] Cuckoo Filter:设计与实现
- [14] Linux Used内存到底哪里去了?
- [13] Linux内存中的Cache真的能被回收么?
- [13] 关于RDS只读实例延迟分析
- [13] 公钥私钥加密解密数字证书数字签名详解
- [13] 什么是DNS劫持和DNS污染?